CVE-2024-41672 in DuckDBالمعلومات

الملخص

بحسب VulDB • 27/06/2026

DuckDB هو نظام إدارة قواعد بيانات SQL. في الإصدارات 1.0.0 والإصدارات الأقدم، يمكن الوصول إلى محتويات النظام الملفاتي للقراءة باستخدام `sniff_csv`، حتى مع تعيين `enable_external_access=false`. توفر هذه الثغرة المهاجم إمكانية الوصول إلى النظام الملفاتي حتى عندما يُتوقع أن يكون الوصول معطلاً، بينما لا توفر الوظائف المماثلة الأخرى مثل هذا الوصول. يبدو أن هناك متجهين لهذه الثغرة: أولاً، الوصول إلى ملفات كان ينبغي منعها في العادة؛ وثانياً، يمكن قراءة محتوى ملف معين (مثل `/etc/hosts` أو `proc/self/environ`) على الرغم من أنه لا يبدو ذلك مقصوداً ضمن وظيفة `sniff_csv`. يتوفر إصلاح لهذه المشكلة في الالتزام c9b7c98aa0e1cd7363fe8bb8543a95f38e980d8a ومن المتوقع أن يكون جزءاً من الإصدار 1.1.0.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

18/07/2024

إفشاء

24/07/2024

الاعتدال

تمت الموافقة

إدخال

VDB-272380

EPSS

0.00813

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!