ਪ੍ਰਭਾਵ
LiteLLM ਵਿੱਚ ਇਸਦੀ ਪ੍ਰੌਕਸੀ API ਕੁੰਜੀ ਤਸਦੀਕ ਪ੍ਰਕਿਰਿਆ [S1] ਵਿੱਚ ਇੱਕ ਨਾਜ਼ੁਕ SQL ਇੰਜੈਕਸ਼ਨ ਕਮਜ਼ੋਰੀ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਨੁਕਸ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸੁਰੱਖਿਆ ਜਾਂਚਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਅਤੇ ਅੰਡਰਲਾਈੰਗ ਡੇਟਾਬੇਸ [S1][S3] ਤੋਂ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਜਾਂ ਬਾਹਰ ਕੱਢਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।
ਮੂਲ ਕਾਰਨ
ਮੁੱਦੇ ਦੀ ਪਛਾਣ CWE-89 (SQL Injection) [S1] ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ। ਇਹ LiteLLM ਪ੍ਰੌਕਸੀ ਕੰਪੋਨੈਂਟ [S2] ਦੇ API ਕੁੰਜੀ ਪੁਸ਼ਟੀਕਰਨ ਤਰਕ ਵਿੱਚ ਸਥਿਤ ਹੈ। ਕਮਜ਼ੋਰੀ [S1] ਡੇਟਾਬੇਸ ਪੁੱਛਗਿੱਛਾਂ ਵਿੱਚ ਵਰਤੇ ਗਏ ਇਨਪੁਟ ਦੀ ਨਾਕਾਫ਼ੀ ਸੈਨੀਟਾਈਜ਼ੇਸ਼ਨ ਤੋਂ ਪੈਦਾ ਹੁੰਦੀ ਹੈ।
ਪ੍ਰਭਾਵਿਤ ਸੰਸਕਰਣ
LiteLLM ਸੰਸਕਰਣ 1.81.16 ਤੋਂ 1.83.6 ਤੱਕ ਇਸ ਕਮਜ਼ੋਰੀ [S1] ਦੁਆਰਾ ਪ੍ਰਭਾਵਿਤ ਹੁੰਦੇ ਹਨ।
ਕੰਕਰੀਟ ਫਿਕਸ
ਇਸ ਕਮਜ਼ੋਰੀ ਨੂੰ ਘਟਾਉਣ ਲਈ LiteLLM ਨੂੰ 1.83.7 ਜਾਂ ਇਸ ਤੋਂ ਉੱਚੇ ਵਰਜਨ ਵਿੱਚ ਅੱਪਡੇਟ ਕਰੋ [S1]।
FixVibe ਇਸਦੇ ਲਈ ਕਿਵੇਂ ਟੈਸਟ ਕਰਦਾ ਹੈ
FixVibe ਹੁਣ ਇਸਨੂੰ GitHub ਰੈਪੋ ਸਕੈਨ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ। ਚੈੱਕ ਸਿਰਫ਼ ਅਧਿਕਾਰਤ ਰਿਪੋਜ਼ਟਰੀ ਨਿਰਭਰਤਾ ਫਾਈਲਾਂ ਨੂੰ ਪੜ੍ਹਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ requirements.txt, pyproject.toml, poetry.lock, ਅਤੇ Pipfile.lock ਸ਼ਾਮਲ ਹਨ। ਇਹ LiteLLM ਪਿੰਨਾਂ ਜਾਂ ਸੰਸਕਰਣ ਰੁਕਾਵਟਾਂ ਨੂੰ ਫਲੈਗ ਕਰਦਾ ਹੈ ਜੋ ਪ੍ਰਭਾਵਿਤ ਰੇਂਜ >=1.81.16 <1.83.7 ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ, ਫਿਰ ਨਿਰਭਰਤਾ ਫਾਈਲ, ਲਾਈਨ ਨੰਬਰ, ਸਲਾਹਕਾਰੀ ਆਈਡੀ, ਪ੍ਰਭਾਵਿਤ ਰੇਂਜ, ਅਤੇ ਸਥਿਰ ਸੰਸਕਰਣ ਦੀ ਰਿਪੋਰਟ ਕਰਦਾ ਹੈ।
ਇਹ ਇੱਕ ਸਥਿਰ, ਸਿਰਫ਼-ਪੜ੍ਹਨ ਲਈ ਰੈਪੋ ਜਾਂਚ ਹੈ। ਇਹ ਗਾਹਕ ਕੋਡ ਨੂੰ ਲਾਗੂ ਨਹੀਂ ਕਰਦਾ ਹੈ ਅਤੇ ਸ਼ੋਸ਼ਣ ਪੇਲੋਡ ਨਹੀਂ ਭੇਜਦਾ ਹੈ।