અસર
LiteLLM વર્ઝન 1.81.16 થી 1.83.7 માં પ્રોક્સીની API કી વેરિફિકેશન મિકેનિઝમ [S1] ની અંદર જટિલ SQL ઇન્જેક્શન નબળાઈ છે. સફળ શોષણ અનધિકૃત હુમલાખોરને સુરક્ષા નિયંત્રણોને બાયપાસ કરવાની અથવા અનધિકૃત ડેટાબેઝ કામગીરી [S1] કરવાની મંજૂરી આપે છે. આ નબળાઈને 9.8 નો CVSS સ્કોર સોંપવામાં આવ્યો છે, જે સિસ્ટમની ગોપનીયતા અને અખંડિતતા [S2] પર તેની ઊંચી અસર દર્શાવે છે.
મૂળ કારણ
નબળાઈ અસ્તિત્વમાં છે કારણ કે LiteLLM પ્રોક્સી ડેટાબેઝ ક્વેરી [S1] માં તેનો ઉપયોગ કરતા પહેલા Authorization હેડરમાં પ્રદાન કરેલ API કીને યોગ્ય રીતે સેનિટાઈઝ કરવામાં અથવા પેરામીટરાઈઝ કરવામાં નિષ્ફળ જાય છે. આ હેડરમાં જડિત દૂષિત SQL આદેશોને બેકએન્ડ ડેટાબેઝ [S3] દ્વારા ચલાવવાની મંજૂરી આપે છે.
અસરગ્રસ્ત સંસ્કરણો
- LiteLLM: 1.83.7 [S1] સુધીની આવૃત્તિઓ 1.81.16 (પરંતુ તેમાં શામેલ નથી).
કોંક્રિટ ફિક્સેસ
- LiteLLM અપડેટ કરો:
litellmપેકેજને ઇન્જેક્શનની ખામીને પેચ કરવા માટે તરત જ 1.83.7 અથવા પછીના સંસ્કરણમાં અપગ્રેડ કરો. - ઓડિટ ડેટાબેઝ લોગ: અસામાન્ય ક્વેરી પેટર્ન અથવા પ્રોક્સી સેવા [S1] માંથી ઉદ્ભવતા અનપેક્ષિત સિન્ટેક્સ માટે ડેટાબેઝ એક્સેસ લોગની સમીક્ષા કરો.
તપાસ તર્ક
સુરક્ષા ટીમો આના દ્વારા એક્સપોઝરને ઓળખી શકે છે:
- વર્ઝન સ્કેનિંગ: અસરગ્રસ્ત રેન્જ (1.81.16 થી 1.83.6) [S1] ની અંદર LiteLLM સંસ્કરણો માટે પર્યાવરણની ચકાસણી કરવી.
- હેડર મોનિટરિંગ: ખાસ કરીને
Authorization: Bearerટોકન ફીલ્ડ [S1] ની અંદર SQL ઈન્જેક્શન પેટર્ન માટે LiteLLM પ્રોક્સીને આવનારી વિનંતીઓનું નિરીક્ષણ કરવું.