Athari
Matoleo ya LiteLLM 1.81.16 hadi 1.83.7 yana hatari kubwa ya kuathiriwa na SQL ndani ya utaratibu wa uthibitishaji wa ufunguo wa API wa proksi [S1]. Unyonyaji uliofanikiwa huruhusu mvamizi ambaye hajaidhinishwa kukwepa vidhibiti vya usalama au kutekeleza utendakazi wa hifadhidata ambao haujaidhinishwa [S1]. Athari hii imepewa alama ya CVSS ya 9.8, inayoakisi athari yake kubwa kwenye usiri wa mfumo na uadilifu [S2].
Chanzo Chanzo
Athari hii ipo kwa sababu seva mbadala ya LiteLLM imeshindwa kutakasa au kuweka kigezo ipasavyo kitufe cha API kilichotolewa kwenye kichwa cha Authorization kabla ya kukitumia katika hoja ya hifadhidata [S1]. Hii inaruhusu amri hasidi za SQL zilizopachikwa kwenye kichwa kutekelezwa na hifadhidata ya mazingira ya nyuma [S3].
Matoleo Yanayoathiriwa
- LiteLLM: Matoleo 1.81.16 hadi (lakini bila kujumuisha) 1.83.7 [S1].
Marekebisho ya Zege
- Sasisha LiteLLM: Sasisha mara moja kifurushi cha
litellmhadi toleo la 1.83.7 au la baadaye ili kubandika dosari ya sindano [S1]. - Kumbukumbu za Hifadhidata ya Ukaguzi: Kagua kumbukumbu za ufikiaji wa hifadhidata kwa ruwaza zisizo za kawaida za hoja au sintaksia isiyotarajiwa inayotoka kwa huduma ya proksi [S1].
Mantiki ya Ugunduzi
Timu za usalama zinaweza kutambua kufichuliwa kwa:
- Kuchanganua Toleo: Kuangalia mazingira kwa matoleo ya LiteLLM ndani ya masafa yaliyoathiriwa (1.81.16 hadi 1.83.6) [S1].
- Ufuatiliaji wa Kichwa: Kukagua maombi yanayoingia kwa seva mbadala ya LiteLLM kwa ruwaza za sindano za SQL haswa ndani ya uga wa tokeni ya
Authorization: Bearer[S1].