LiteLLMのバージョン1.82.7と1.52.8は、GitHub Actions内で実行されている悪意のあるTrivyバイナリを介して公開されました。
このバイナリは、PyPIソースコードやリリースワークフローに一切手を加えることなく、悪意のあるパッケージをアップロードするために使用されました。
注目すべきは、これらのバージョンがGitHub Releasesにはまだ掲載されていないことです。
これは、分散環境における脆弱性を明らかにしたLiteLLMプロキシゲートウェイの脆弱性レポートに関連しています。
gitリポジトリなどの簡単な手順で修正できます。
コメント