اثر
LiteLLM اپنی پراکسی API کلیدی توثیق کے عمل [S1] میں ایک اہم SQL انجیکشن کمزوری پر مشتمل ہے۔ یہ خامی غیر تصدیق شدہ حملہ آوروں کو سیکیورٹی چیکس کو نظرانداز کرنے اور بنیادی ڈیٹا بیس [S1][S3] سے ممکنہ طور پر ڈیٹا تک رسائی یا خارج کرنے کی اجازت دیتی ہے۔
بنیادی وجہ
اس مسئلے کی شناخت CWE-89 (SQL انجیکشن) [S1] کے طور پر ہوئی ہے۔ یہ LiteLLM Proxy جزو [S2] کی API کلیدی تصدیقی منطق میں واقع ہے۔ کمزوری ڈیٹا بیس کے سوالات [S1] میں استعمال ہونے والے ان پٹ کی ناکافی صفائی سے پیدا ہوتی ہے۔
متاثرہ ورژن
LiteLLM ورژن 1.81.16 سے 1.83.6 تک اس خطرے سے متاثر ہوتے ہیں [S1]۔
ٹھوس اصلاحات
اس خطرے کو کم کرنے کے لیے LiteLLM کو 1.83.7 یا اس سے زیادہ ورژن میں اپ ڈیٹ کریں [S1]۔
FixVibe اس کے لیے کیسے ٹیسٹ کرتا ہے۔
FixVibe اب اسے GitHub ریپو اسکینوں میں شامل کرتا ہے۔ چیک صرف مجاز ریپوزٹری انحصار فائلوں کو پڑھتا ہے، بشمول requirements.txt، pyproject.toml، poetry.lock، اور Pipfile.lock۔ یہ LiteLLM پنوں یا ورژن کی رکاوٹوں کو جھنڈا لگاتا ہے جو متاثرہ رینج >=1.81.16 <1.83.7 سے میل کھاتا ہے، پھر انحصار فائل، لائن نمبر، ایڈوائزری IDs، متاثرہ رینج، اور فکسڈ ورژن کی اطلاع دیتا ہے۔
یہ ایک جامد، صرف پڑھنے کے لیے ریپو چیک ہے۔ یہ گاہک کے کوڈ پر عمل نہیں کرتا اور نہ ہی استحصالی پے لوڈ بھیجتا ہے۔