প্রভাব
LiteLLM সংস্করণ 1.81.16 থেকে 1.83.7 পর্যন্ত প্রক্সির API কী যাচাইকরণ প্রক্রিয়া [S1]-এর মধ্যে একটি জটিল SQL ইনজেকশন দুর্বলতা রয়েছে। সফল শোষণ একজন অননুমোদিত আক্রমণকারীকে নিরাপত্তা নিয়ন্ত্রণ বাইপাস করতে বা অননুমোদিত ডাটাবেস অপারেশন [S1] সঞ্চালনের অনুমতি দেয়। এই দুর্বলতাটি 9.8 এর একটি CVSS স্কোর বরাদ্দ করা হয়েছে, যা সিস্টেমের গোপনীয়তা এবং অখণ্ডতা [S2] এর উপর উচ্চ প্রভাব প্রতিফলিত করে।
মূল কারণ
দুর্বলতা বিদ্যমান কারণ LiteLLM প্রক্সি Authorization শিরোনামে প্রদত্ত API কীকে ডেটাবেস কোয়েরিতে [S1] ব্যবহার করার আগে সঠিকভাবে স্যানিটাইজ বা প্যারামিটারাইজ করতে ব্যর্থ হয়৷ এটি হেডারে এমবেড করা দূষিত SQL কমান্ডগুলিকে ব্যাকএন্ড ডাটাবেস [S3] দ্বারা কার্যকর করার অনুমতি দেয়৷
প্রভাবিত সংস্করণ
- LiteLLM: সংস্করণ 1.81.16 পর্যন্ত (কিন্তু অন্তর্ভুক্ত নয়) 1.83.7 [S1]।
কংক্রিট ফিক্স
- LiteLLM আপডেট করুন: অবিলম্বে
litellmপ্যাকেজটিকে 1.83.7 সংস্করণে বা পরবর্তী সংস্করণে আপগ্রেড করুন [S1] ইনজেকশন ত্রুটি প্যাচ করতে৷ - অডিট ডাটাবেস লগ: প্রক্সি পরিষেবা [S1] থেকে উদ্ভূত অস্বাভাবিক ক্যোয়ারী প্যাটার্ন বা অপ্রত্যাশিত সিনট্যাক্সের জন্য ডেটাবেস অ্যাক্সেস লগগুলি পর্যালোচনা করুন৷
সনাক্তকরণ যুক্তি
নিরাপত্তা দলগুলি এর মাধ্যমে এক্সপোজার সনাক্ত করতে পারে:
- সংস্করণ স্ক্যানিং: প্রভাবিত পরিসরে (1.81.16 থেকে 1.83.6) [S1] এর মধ্যে LiteLLM সংস্করণগুলির জন্য পরিবেশ পরীক্ষা করা হচ্ছে।
- হেডার মনিটরিং: বিশেষত
Authorization: Bearerটোকেন ফিল্ড [S1]-এর মধ্যে SQL ইনজেকশন প্যাটার্নের জন্য LiteLLM প্রক্সিতে আগত অনুরোধগুলি পরিদর্শন করা।