અસર
LiteLLM તેની પ્રોક્સી API કી વેરિફિકેશન પ્રક્રિયા [S1] માં જટિલ SQL ઈન્જેક્શન નબળાઈ ધરાવે છે. આ ખામી અપ્રમાણિત હુમલાખોરોને સુરક્ષા તપાસને બાયપાસ કરવાની અને અંતર્ગત ડેટાબેઝ [S1][S3] માંથી સંભવિત ડેટાને એક્સેસ કરવા અથવા બહાર કાઢવાની મંજૂરી આપે છે.
મૂળ કારણ
સમસ્યા CWE-89 (SQL ઇન્જેક્શન) [S1] તરીકે ઓળખાય છે. તે LiteLLM પ્રોક્સી ઘટક [S2] ના API કી ચકાસણી તર્કમાં સ્થિત છે. ડેટાબેઝ ક્વેરીઝ [S1] માં ઉપયોગમાં લેવાતા ઇનપુટના અપૂરતા સેનિટાઇઝેશનને કારણે નબળાઈ ઉભી થાય છે.
અસરગ્રસ્ત સંસ્કરણો
LiteLLM વર્ઝન 1.81.16 થી 1.83.6 સુધી આ નબળાઈ [S1] દ્વારા પ્રભાવિત છે.
કોંક્રિટ ફિક્સેસ
આ નબળાઈ [S1] ને ઘટાડવા માટે LiteLLM ને 1.83.7 અથવા ઉચ્ચ સંસ્કરણ પર અપડેટ કરો.
FixVibe તેના માટે કેવી રીતે પરીક્ષણ કરે છે
FixVibe હવે GitHub રેપો સ્કેનમાં આનો સમાવેશ કરે છે. ચેક ફક્ત requirements.txt, pyproject.toml, poetry.lock, અને Pipfile.lock સહિતની અધિકૃત રિપોઝીટરી ડિપેન્ડન્સી ફાઇલો વાંચે છે. તે અસરગ્રસ્ત શ્રેણી >=1.81.16 <1.83.7 સાથે મેળ ખાતી LiteLLM પિન અથવા સંસ્કરણ અવરોધોને ફ્લેગ કરે છે, પછી નિર્ભરતા ફાઇલ, લાઇન નંબર, સલાહકાર IDs, અસરગ્રસ્ત શ્રેણી અને નિશ્ચિત સંસ્કરણની જાણ કરે છે.
આ એક સ્થિર, માત્ર વાંચવા માટેનો રેપો ચેક છે. તે ગ્રાહક કોડનો અમલ કરતું નથી અને શોષણ પેલોડ્સ મોકલતું નથી.