אימפאקט
LiteLLM כּולל אַ קריטיש סקל ינדזשעקשאַן וואַלנעראַביליטי אין זיין פּראָקסי API שליסל וועראַפאַקיישאַן פּראָצעס [S1]. דער פלאָ אַלאַוז אַנאָטהענטיקייטיד אַטאַקערז צו בייפּאַס זיכערהייט טשעקס און פּאַטענטשאַלי אַקסעס אָדער עקספילטרירן דאַטן פון די אַנדערלייינג דאַטאַבייס [S1][S3].
וואָרצל גרונט
די אַרויסגעבן איז יידענאַפייד ווי CWE-89 (SQL Injection) [S1]. עס איז ליגן אין די API שליסל וועראַפאַקיישאַן לאָגיק פון די LiteLLM Proxy קאָמפּאָנענט [S2]. די וואַלנעראַביליטי סטעמס פון ניט גענוגיק סאַניטיזיישאַן פון אַרייַנשרייַב געניצט אין דייטאַבייס פֿראגן [S1].
אַפעקטאַד ווערסיעס
LiteLLM ווערסיעס 1.81.16 ביז 1.83.6 זענען אַפעקטאַד דורך דעם וואַלנעראַביליטי [S1].
באַטאָנען פיקסיז
דערהייַנטיקן LiteLLM צו ווערסיע 1.83.7 אָדער העכער צו פאַרמינערן דעם וואַלנעראַביליטי [S1].
ווי FixVibe טעסץ פֿאַר עס
FixVibe איצט ינקלודז דעם אין GitHub רעפּאָ סקאַנז. דער טשעק לייענט בלויז אָטערייזד ריפּאַזאַטאָרי דעפּענדענסי טעקעס, אַרייַנגערעכנט requirements.txt, pyproject.toml, poetry.lock און Pipfile.lock. עס פלאַגס LiteLLM פּינס אָדער ווערסיע קאַנסטריינץ וואָס גלייַכן די אַפעקטאַד קייט >=1.81.16 <1.83.7, און ריפּאָרץ די דעפּענדענסי טעקע, שורה נומער, אַדווייזערי ידס, אַפעקטאַד קייט און פאַרפעסטיקט ווערסיע.
דאָס איז אַ סטאַטיק, לייענען-בלויז רעפּאָ טשעק. עס טוט נישט ויספירן קונה קאָד און טוט נישט שיקן גווורע פּיילאָודז.