אימפאקט
LiteLLM ווערסיעס 1.81.16 ביז 1.83.7 אַנטהאַלטן אַ קריטיש סקל ינדזשעקשאַן וואַלנעראַביליטי אין די פּראַקסי ס API שליסל וועראַפאַקיישאַן מעקאַניזאַם [S1]. געראָטן עקספּלויטיישאַן אַלאַוז אַן אַנאָטערייזד אַטאַקער צו בייפּאַס זיכערהייט קאָנטראָלס אָדער דורכפירן אַנאָטערייזד דאַטאַבייס אַפּעריישאַנז [S1]. די וואַלנעראַביליטי איז אַסיינד אַ CVSS כעזשבן פון 9.8, וואָס ריפלעקס די הויך פּראַל אויף סיסטעם קאַנפאַדענשיאַלאַטי און אָרנטלעכקייַט [S2].
וואָרצל גרונט
די וואַלנעראַביליטי יגזיסץ ווייַל די LiteLLM פראקסי פיילז צו רעכט סאַניטיז אָדער פּאַראַמעטיזירן די API שליסל צוגעשטעלט אין די Authorization כעדער איידער ניצן עס אין אַ דאַטאַבייס אָנפֿרעג [S1]. דאָס אַלאַוז בייזע סקל קאַמאַנדז עמבעדיד אין די כעדער צו זיין עקסאַקיוטאַד דורך די באַקענד דאַטאַבייס [S3].
אַפעקטאַד ווערסיעס
- LiteLLM: ווערסיעס 1.81.16 אַרויף צו (אָבער ניט אַרייַנגערעכנט) 1.83.7 [S1].
באַטאָנען פיקסיז
- דערהייַנטיקן LiteLLM: גלייך אַפּגרייד די
litellmפּעקל צו ווערסיע 1.83.7 אָדער שפּעטער צו לאַטע די ינדזשעקשאַן פלאָז [S1]. - אַודיט דאַטאַבאַסע לאָגס : איבערבליק דאַטאַבייס אַקסעס לאָגס פֿאַר ומגעוויינטלעך אָנפֿרעג פּאַטערנז אָדער אומגעריכט סינטאַקס ערידזשאַנייטאַד פֿון די פראקסי סערוויס [S1].
דיטעקשאַן לאָגיק
זיכערהייט טימז קענען ידענטיפיצירן ויסשטעלן דורך:
- ווערסיע סקאַנינג : קאָנטראָלירונג סוויווע מאַנאַפעסץ פֿאַר LiteLLM ווערסיעס אין די אַפעקטאַד קייט (1.81.16 צו 1.83.6) [S1].
- כעדער מאָניטאָרינג : ינספּעקטינג ינקאַמינג ריקוועס צו די LiteLLM פראקסי פֿאַר SQL ינדזשעקשאַן פּאַטערנז ספּאַסיפיקלי אין די
Authorization: Bearerטאָקען פעלד [S1].