প্রভাব
LiteLLM এর প্রক্সি API কী যাচাইকরণ প্রক্রিয়া [S1]-এ একটি জটিল SQL ইনজেকশন দুর্বলতা রয়েছে। এই ত্রুটিটি অপ্রমাণিত আক্রমণকারীদের নিরাপত্তা চেকগুলিকে বাইপাস করতে এবং অন্তর্নিহিত ডাটাবেস [S1][S3] থেকে সম্ভাব্য ডেটা অ্যাক্সেস বা এক্সফিল্ট করার অনুমতি দেয়৷
মূল কারণ
সমস্যাটি CWE-89 (SQL ইনজেকশন) [S1] হিসাবে চিহ্নিত করা হয়েছে৷ এটি LiteLLM প্রক্সি কম্পোনেন্ট [S2]-এর API কী যাচাইকরণ যুক্তিতে অবস্থিত। ডাটাবেস প্রশ্ন [S1] ব্যবহার করা ইনপুটের অপর্যাপ্ত স্যানিটাইজেশন থেকে দুর্বলতা তৈরি হয়।
প্রভাবিত সংস্করণ
LiteLLM সংস্করণ 1.81.16 থেকে 1.83.6 এই দুর্বলতা [S1] দ্বারা প্রভাবিত হয়৷
কংক্রিট ফিক্স
এই দুর্বলতা [S1] প্রশমিত করতে LiteLLM 1.83.7 বা উচ্চতর সংস্করণে আপডেট করুন।
কিভাবে FixVibe এর জন্য পরীক্ষা করে
FixVibe এখন এটি GitHub রেপো স্ক্যানগুলিতে অন্তর্ভুক্ত করে। চেক শুধুমাত্র requirements.txt, pyproject.toml, poetry.lock, এবং Pipfile.lock সহ অনুমোদিত রিপোজিটরি নির্ভরতা ফাইলগুলি পড়ে৷ এটি LiteLLM পিন বা সংস্করণের সীমাবদ্ধতাগুলিকে ফ্ল্যাগ করে যা প্রভাবিত পরিসর >=1.81.16 <1.83.7 এর সাথে মেলে, তারপর নির্ভরতা ফাইল, লাইন নম্বর, উপদেষ্টা আইডি, প্রভাবিত পরিসর এবং নির্দিষ্ট সংস্করণ রিপোর্ট করে।
এটি একটি স্ট্যাটিক, রিড-ওনলি রেপো চেক। এটি গ্রাহক কোড কার্যকর করে না এবং শোষণ পেলোড পাঠায় না।