प्रभाव
LiteLLM इत्यस्य प्रॉक्सी API कुञ्जीसत्यापनप्रक्रिया [S1] इत्यस्मिन् एकं महत्त्वपूर्णं SQL इन्जेक्शन-असुरक्षां भवति । एषा दोषः अप्रमाणित-आक्रमणकर्तृभ्यः सुरक्षा-परीक्षां बाईपासं कर्तुं शक्नोति तथा च सम्भाव्यतया अन्तर्निहित-दत्तांशकोशात् [S1][S3] तः आँकडान् अभिगन्तुं वा निष्कासयितुं वा शक्नोति
मूलकारणम्
मुद्दा CWE-89 (SQL Injection) [S1] इति रूपेण चिह्नितः अस्ति । इदं LiteLLM प्रॉक्सी घटकस्य [S2] इत्यस्य API कुञ्जीसत्यापनतर्कस्य मध्ये स्थितम् अस्ति । असुरक्षा आँकडाधारप्रश्नेषु [S1] इत्यत्र प्रयुक्तस्य निवेशस्य अपर्याप्तसेनेटाइजेशनात् उद्भवति ।
प्रभावित संस्करण
LiteLLM संस्करणं 1.81.16 तः 1.83.6 पर्यन्तं अस्याः दुर्बलतायाः [S1] इत्यस्य प्रभावः भवति ।
कंक्रीट फिक्स
एतत् दुर्बलतां न्यूनीकर्तुं LiteLLM इत्येतत् 1.83.7 अथवा उच्चतरं संस्करणं प्रति अद्यतनं कुर्वन्तु [S1].
FixVibe तस्य परीक्षणं कथं करोति
FixVibe इदानीं GitHub रेपो स्कैन् मध्ये एतत् समाविष्टं करोति । जाँच केवलं अधिकृतभण्डारनिर्भरतासञ्चिकाः पठति, यत्र requirements.txt, pyproject.toml, poetry.lock, तथा Pipfile.lock च सन्ति । इदं LiteLLM पिन अथवा संस्करणप्रतिबन्धान् ध्वजयति यत् प्रभावितपरिधि >=1.81.16 <1.83.7 इत्यनेन सह मेलनं करोति, ततः निर्भरतासञ्चिकां, रेखासङ्ख्यां, सल्लाहकार-IDs, प्रभावितपरिधिं, नियतसंस्करणं च प्रतिवेदयति
इदं स्थिरं, केवलं पठनीयं रेपो-परीक्षा अस्ति । ग्राहकसङ्केतं न निष्पादयति तथा च शोषणपेलोड् न प्रेषयति ।