ผลกระทบ
LiteLLM เวอร์ชัน 1.81.16 ถึง 1.83.7 มีช่องโหว่การแทรก SQL ที่สำคัญภายในกลไกการตรวจสอบคีย์ API ของพร็อกซี ZXCVFIXVIBTOKEN0ZXCV การใช้ประโยชน์ที่ประสบความสำเร็จช่วยให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถเลี่ยงผ่านการควบคุมความปลอดภัยหรือดำเนินการฐานข้อมูลโดยไม่ได้รับอนุญาต [S1] ช่องโหว่นี้ได้รับคะแนน CVSS ที่ 9.8 ซึ่งสะท้อนถึงผลกระทบสูงต่อการรักษาความลับและความสมบูรณ์ของระบบ [S2]
ต้นเหตุ
มีช่องโหว่อยู่เนื่องจากพร็อกซี LiteLLM ล้มเหลวในการฆ่าเชื้อหรือกำหนดพารามิเตอร์คีย์ API ที่ให้ไว้ในส่วนหัว Authorization ก่อนที่จะนำไปใช้ในการสืบค้นฐานข้อมูล [S1] ซึ่งอนุญาตให้คำสั่ง SQL ที่เป็นอันตรายที่ฝังอยู่ในส่วนหัวสามารถดำเนินการโดยฐานข้อมูลส่วนหลัง [S3]
เวอร์ชันที่ได้รับผลกระทบ
- LiteLLM: เวอร์ชัน 1.81.16 สูงถึง (แต่ไม่รวม) 1.83.7 [S1]
การแก้ไขคอนกรีต
- อัปเดต LiteLLM: อัปเกรดแพ็คเกจ
litellmทันทีเป็นเวอร์ชัน 1.83.7 หรือใหม่กว่า เพื่อแก้ไขข้อบกพร่องในการฉีด [S1] - บันทึกฐานข้อมูลการตรวจสอบ: ตรวจสอบบันทึกการเข้าถึงฐานข้อมูลเพื่อหารูปแบบการสืบค้นที่ผิดปกติหรือไวยากรณ์ที่ไม่คาดคิดที่มาจากบริการพร็อกซี [S1]
ลอจิกการตรวจจับ
ทีมรักษาความปลอดภัยสามารถระบุความเสี่ยงได้โดย:
- การสแกนเวอร์ชัน: การตรวจสอบสภาพแวดล้อมจะแสดงสำหรับเวอร์ชัน LiteLLM ภายในช่วงที่ได้รับผลกระทบ (1.81.16 ถึง 1.83.6) [S1]
- การตรวจสอบส่วนหัว: การตรวจสอบคำขอขาเข้าไปยังพร็อกซี LiteLLM สำหรับรูปแบบการแทรก SQL โดยเฉพาะภายในฟิลด์โทเค็น
Authorization: Bearer[S1]