प्रभाव
LiteLLM ले यसको प्रोक्सी API कुञ्जी प्रमाणिकरण प्रक्रिया [S1] मा एक महत्वपूर्ण SQL इंजेक्शन जोखिम समावेश गर्दछ। यो त्रुटिले अप्रमाणित आक्रमणकारीहरूलाई सुरक्षा जाँचहरू बाइपास गर्न र अन्तर्निहित डाटाबेस [S1][S3] बाट सम्भावित रूपमा पहुँच वा डेटा निकाल्न अनुमति दिन्छ।
मूल कारण
समस्या CWE-89 (SQL इंजेक्शन) [S1] को रूपमा पहिचान गरिएको छ। यो LiteLLM प्रोक्सी कम्पोनेन्ट [S2] को API कुञ्जी प्रमाणीकरण तर्कमा अवस्थित छ। [S1] डाटाबेस क्वेरीहरूमा प्रयोग गरिएको इनपुटको अपर्याप्त सेनिटाइजेशनबाट जोखिम उत्पन्न हुन्छ।
प्रभावित संस्करणहरू
LiteLLM संस्करणहरू 1.81.16 मार्फत 1.83.6 यस जोखिम [S1] द्वारा प्रभावित छन्।
कंक्रीट फिक्सहरू
[S1] यो जोखिमलाई कम गर्न LiteLLM लाई १.८३.७ वा उच्च संस्करणमा अपडेट गर्नुहोस्।
कसरी FixVibe यसको लागि परीक्षण गर्दछ
FixVibe ले अब यसलाई GitHub रेपो स्क्यानहरूमा समावेश गर्दछ। चेकले requirements.txt, pyproject.toml, poetry.lock, र Pipfile.lock सहित अधिकृत रिपोजिटरी निर्भरता फाइलहरू मात्र पढ्छ। यसले प्रभावित दायरा >=1.81.16 <1.83.7 सँग मेल खाने LiteLLM पिन वा संस्करण अवरोधहरूलाई फ्ल्याग गर्दछ, त्यसपछि निर्भरता फाइल, लाइन नम्बर, सल्लाहकार IDs, प्रभावित दायरा, र निश्चित संस्करण रिपोर्ट गर्दछ।
यो एक स्थिर, पढ्ने मात्र रिपो चेक हो। यसले ग्राहक कोड कार्यान्वयन गर्दैन र शोषण पेलोडहरू पठाउँदैन।