බලපෑම
LiteLLM අනුවාද 1.81.16 සිට 1.83.7 දක්වා ප්රොක්සියේ API යතුරු සත්යාපන යාන්ත්රණය [S1] තුළ තීරණාත්මක SQL එන්නත් කිරීමේ අවදානමක් අඩංගු වේ. Successful exploitation allows an unauthenticated attacker to bypass security controls or perform unauthorized database operations [S1]. පද්ධතියේ රහස්යභාවය සහ අඛණ්ඩතාව [S2] කෙරෙහි එහි ඉහළ බලපෑම පිළිබිඹු කරමින් මෙම අවදානමට CVSS ලකුණු 9.8ක් පවරා ඇත.
මූල හේතුව
Authorization ශීර්ෂය තුළ සපයා ඇති API යතුර ZXCVFIXVIBETOKEN1ZXCEV දත්ත සමුදා විමසුමක භාවිතා කිරීමට පෙර එය නිසි ලෙස සනීපාරක්ෂාව කිරීමට හෝ පරාමිති කිරීමට LiteLLM ප්රොක්සිය අසමත් වීම නිසා අවදානම පවතී. [S3] පසුපෙළ දත්ත සමුදාය මඟින් ශීර්ෂකය තුළ තැන්පත් කර ඇති අනිෂ්ට SQL විධානයන් ක්රියාත්මක කිරීමට මෙය ඉඩ දෙයි.
බලපෑමට ලක් වූ අනුවාද
- LiteLLM: අනුවාද 1.81.16 දක්වා (නමුත් ඇතුළු නොවේ) 1.83.7 [S1].
කොන්ක්රීට් සවි කිරීම්
- LiteLLM යාවත්කාලීන කරන්න:
litellmපැකේජය වහාම 1.83.7 අනුවාදයට හෝ පසුව [S1] වෙතට උත්ශ්රේණි කරන්න. - දත්ත සමුදා ලොග විගණන: අසාමාන්ය විමසුම් රටා හෝ [S1] ප්රොක්සි සේවාවෙන් ආරම්භ වන අනපේක්ෂිත වාක්ය ඛණ්ඩ සඳහා දත්ත සමුදා ප්රවේශ ලොග සමාලෝචනය කරන්න.
හඳුනාගැනීමේ තර්කය
ආරක්ෂක කණ්ඩායම්වලට නිරාවරණය හඳුනාගත හැක්කේ:
- අනුවාද පරිලෝකනය: බලපෑමට ලක් වූ පරාසය තුළ LiteLLM අනුවාද සඳහා පරිසරය ප්රකාශනය කරයි (1.81.16 සිට 1.83.6 දක්වා) [S1].
- ශීර්ෂ අධීක්ෂණය: විශේෂයෙන්ම
Authorization: Bearerටෝකන් ක්ෂේත්රය [S1] තුළ SQL එන්නත් රටා සඳහා LiteLLM ප්රොක්සිය වෙත එන ඉල්ලීම් පරීක්ෂා කිරීම.