ആഘാതം
LiteLLM-ൽ അതിൻ്റെ പ്രോക്സി API കീ വെരിഫിക്കേഷൻ പ്രക്രിയ [S1]-ൽ ഒരു നിർണായക SQL ഇൻജക്ഷൻ ദുർബലത അടങ്ങിയിരിക്കുന്നു. ഈ പോരായ്മ ആധികാരികതയില്ലാത്ത ആക്രമണകാരികളെ സുരക്ഷാ പരിശോധനകൾ മറികടക്കുന്നതിനും, [S1][S3]-ൽ നിന്നുള്ള ഡാറ്റ ആക്സസ് ചെയ്യാനോ എക്സ്ഫിൽട്രേറ്റ് ചെയ്യാനോ അനുവദിക്കുന്നു.
മൂലകാരണം
CWE-89 (SQL Injection) [S1] എന്നാണ് പ്രശ്നം തിരിച്ചറിഞ്ഞത്. LiteLLM പ്രോക്സി ഘടകമായ [S2]-യുടെ API കീ സ്ഥിരീകരണ ലോജിക്കിലാണ് ഇത് സ്ഥിതിചെയ്യുന്നത്. [S1] എന്ന ഡാറ്റാബേസ് അന്വേഷണങ്ങളിൽ ഉപയോഗിക്കുന്ന ഇൻപുട്ടിൻ്റെ അപര്യാപ്തമായ സാനിറ്റൈസേഷനിൽ നിന്നാണ് ഈ അപകടസാധ്യത ഉണ്ടാകുന്നത്.
ബാധിച്ച പതിപ്പുകൾ
LiteLLM പതിപ്പുകൾ 1.81.16 മുതൽ 1.83.6 വരെ ഈ അപകടസാധ്യത [S1] ബാധിക്കുന്നു.
കോൺക്രീറ്റ് ഫിക്സുകൾ
ഈ അപകടസാധ്യത ലഘൂകരിക്കാൻ LiteLLM പതിപ്പ് 1.83.7 അല്ലെങ്കിൽ ഉയർന്ന പതിപ്പിലേക്ക് അപ്ഡേറ്റ് ചെയ്യുക [S1].
എങ്ങനെയാണ് FixVibe അതിനായി പരീക്ഷിക്കുന്നത്
FixVibe ഇപ്പോൾ ഇത് GitHub റിപ്പോ സ്കാനുകളിൽ ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. requirements.txt, pyproject.toml, poetry.lock, Pipfile.lock എന്നിവയുൾപ്പെടെ അംഗീകൃത റിപ്പോസിറ്ററി ഡിപൻഡൻസി ഫയലുകൾ മാത്രമാണ് ചെക്ക് വായിക്കുന്നത്. ഇത് ബാധിച്ച ശ്രേണി >=1.81.16 <1.83.7-യുമായി പൊരുത്തപ്പെടുന്ന LiteLLM പിൻസ് അല്ലെങ്കിൽ പതിപ്പ് നിയന്ത്രണങ്ങൾ ഫ്ലാഗ് ചെയ്യുന്നു, തുടർന്ന് ഡിപൻഡൻസി ഫയൽ, ലൈൻ നമ്പർ, ഉപദേശക ഐഡികൾ, ബാധിത ശ്രേണി, സ്ഥിര പതിപ്പ് എന്നിവ റിപ്പോർട്ടുചെയ്യുന്നു.
ഇതൊരു സ്റ്റാറ്റിക്, റീഡ്-ഒൺലി റിപ്പോ പരിശോധനയാണ്. ഇത് ഉപഭോക്തൃ കോഡ് എക്സിക്യൂട്ട് ചെയ്യുന്നില്ല, എക്സ്പ്ലോയിറ്റ് പേലോഡുകൾ അയയ്ക്കുന്നില്ല.