प्रभाव
LiteLLM में इसकी प्रॉक्सी API कुंजी सत्यापन प्रक्रिया [S1] में एक महत्वपूर्ण SQL इंजेक्शन भेद्यता है। यह दोष अप्रमाणित हमलावरों को सुरक्षा जांच को बायपास करने और अंतर्निहित डेटाबेस [S1][S3] से संभावित रूप से डेटा तक पहुंचने या घुसपैठ करने की अनुमति देता है।
मूल कारण
समस्या की पहचान CWE-89 (SQL इंजेक्शन) ZXCVFIXVIBTOKEN0ZXCV के रूप में की गई है। यह LiteLLM प्रॉक्सी घटक [S2] के API कुंजी सत्यापन तर्क में स्थित है। यह भेद्यता डेटाबेस क्वेरीज़ [S1] में उपयोग किए गए इनपुट के अपर्याप्त स्वच्छताकरण से उत्पन्न होती है।
प्रभावित संस्करण
LiteLLM संस्करण 1.81.16 से 1.83.6 तक इस भेद्यता [S1] से प्रभावित हैं।
ठोस सुधार
इस भेद्यता को कम करने के लिए LiteLLM को 1.83.7 या उच्चतर संस्करण में अपडेट करें [S1]।
FixVibe इसका परीक्षण कैसे करता है
FixVibe में अब इसे GitHub रेपो स्कैन में शामिल किया गया है। चेक केवल अधिकृत रिपॉजिटरी निर्भरता फ़ाइलों को पढ़ता है, जिसमें requirements.txt, ZXCVFIXVIBTOKEN1ZXCV, poetry.lock और ZXCVFIXVIBTOKEN3ZXCV शामिल हैं। यह लाइटएलएलएम पिन या संस्करण बाधाओं को चिह्नित करता है जो प्रभावित रेंज >=1.81.16 <1.83.7 से मेल खाते हैं, फिर निर्भरता फ़ाइल, लाइन नंबर, सलाहकार आईडी, प्रभावित रेंज और निश्चित संस्करण की रिपोर्ट करते हैं।
यह एक स्थिर, केवल पढ़ने योग्य रेपो जांच है। यह ग्राहक कोड निष्पादित नहीं करता है और शोषण पेलोड नहीं भेजता है।