प्रभाव
LiteLLM मध्ये त्याच्या प्रॉक्सी API की पडताळणी प्रक्रिये [S1] मध्ये एक गंभीर SQL इंजेक्शन भेद्यता आहे. हा दोष अप्रमाणित हल्लेखोरांना सुरक्षितता तपासण्यांना बायपास करण्याची आणि [S1][S3] मधून संभाव्य डेटामध्ये प्रवेश करण्यास किंवा बाहेर काढण्याची परवानगी देतो.
मूळ कारण
समस्या CWE-89 (SQL इंजेक्शन) [S1] म्हणून ओळखली जाते. हे LiteLLM प्रॉक्सी घटक [S2] च्या API की पडताळणी लॉजिकमध्ये स्थित आहे. [S1] डेटाबेस क्वेरीमध्ये वापरल्या जाणाऱ्या इनपुटच्या अपर्याप्त सॅनिटायझेशनमुळे भेद्यता उद्भवते.
प्रभावित आवृत्त्या
LiteLLM आवृत्त्या 1.81.16 ते 1.83.6 या असुरक्षा [S1] मुळे प्रभावित होतात.
ठोस निराकरणे
ही असुरक्षा [S1] कमी करण्यासाठी LiteLLM 1.83.7 किंवा उच्च आवृत्तीवर अपडेट करा.
त्यासाठी FixVibe चाचण्या कशा करतात
FixVibe आता हे GitHub रेपो स्कॅनमध्ये समाविष्ट करते. चेक केवळ requirements.txt, pyproject.toml, poetry.lock, आणि Pipfile.lock सह अधिकृत रेपॉजिटरी अवलंबित्व फाइल्स वाचतो. हे प्रभावित श्रेणी >=1.81.16 <1.83.7 शी जुळणारे LiteLLM पिन किंवा आवृत्ती मर्यादा फ्लॅग करते, नंतर अवलंबन फाइल, लाइन क्रमांक, सल्लागार आयडी, प्रभावित श्रेणी आणि निश्चित आवृत्तीचा अहवाल देते.
हा एक स्थिर, केवळ-वाचनीय रेपो चेक आहे. हे ग्राहक कोड कार्यान्वित करत नाही आणि शोषण पेलोड पाठवत नाही.