اثر
LiteLLM ورجن 1.81.16 کان وٺي 1.83.7 ۾ پراکسي جي API اهم تصديق واري ميڪانيزم [S1] جي اندر هڪ نازڪ SQL انجيڪشن جي خطري تي مشتمل آهي. ڪامياب استحصال هڪ غير تصديق ٿيل حملي آور کي اجازت ڏئي ٿو ته سيڪيورٽي ڪنٽرولز کي نظرانداز ڪري يا غير مجاز ڊيٽابيس آپريشنز [S1]. هن خطري کي 9.8 جو CVSS اسڪور لڳايو ويو آهي، جيڪو نظام جي رازداري ۽ سالميت تي ان جو وڏو اثر ظاهر ڪري ٿو [S2].
بنيادي سبب
خطري موجود آهي ڇاڪاڻ ته LiteLLM پراکسي API چيڪ کي صحيح طور تي صاف ڪرڻ يا پيٽرول ڪرڻ ۾ ناڪام ٿئي ٿي Authorization هيڊر ۾ مهيا ڪيل ان کي ڊيٽابيس جي سوال [S1] ۾ استعمال ڪرڻ کان اڳ. هي بدسلوڪي SQL حڪمن کي اجازت ڏئي ٿو ته هيڊر ۾ شامل ڪيو وڃي پس منظر ڊيٽابيس [S3] ذريعي.
متاثر ٿيل نسخو
- LiteLLM: ورزن 1.81.16 تائين (پر شامل ناهي) 1.83.7 [S1].
ڪنڪريٽ فيڪس
- لائيٽ ايل ايل ايم کي اپڊيٽ ڪريو: فوري طور تي
litellmپيڪيج کي ورزن 1.83.7 يا بعد ۾ اپڊيٽ ڪريو انجيڪشن فلي [S1] کي پيچ ڪرڻ لاءِ. - آڊيٽ ڊيٽابيس لاگ: غير معمولي سوالن جي نمونن لاءِ ڊيٽابيس جي رسائي لاگز جو جائزو وٺو يا پراڪسي سروس [S1] مان نڪرندڙ غير متوقع نحو.
ڳولڻ جي منطق
سيڪيورٽي ٽيمون نمائش جي سڃاڻپ ڪري سگھن ٿيون:
- ورزن اسڪيننگ: متاثر ٿيل رينج اندر LiteLLM ورزن لاءِ ماحول جي چڪاس (1.81.16 کان 1.83.6) [S1].
- هيڊر مانيٽرنگ: SQL انجيڪشن نمونن لاءِ LiteLLM پراڪسي ڏانهن ايندڙ درخواستن جو معائنو ڪرڻ خاص طور تي
Authorization: Bearerٽوڪن فيلڊ [S1] جي اندر.