CVE-2024-41672 in DuckDB
الملخص
بحسب VulDB • 27/06/2026
DuckDB هو نظام إدارة قواعد بيانات SQL. في الإصدارات 1.0.0 والإصدارات الأقدم، يمكن الوصول إلى محتويات النظام الملفاتي للقراءة باستخدام `sniff_csv`، حتى مع تعيين `enable_external_access=false`. توفر هذه الثغرة المهاجم إمكانية الوصول إلى النظام الملفاتي حتى عندما يُتوقع أن يكون الوصول معطلاً، بينما لا توفر الوظائف المماثلة الأخرى مثل هذا الوصول. يبدو أن هناك متجهين لهذه الثغرة: أولاً، الوصول إلى ملفات كان ينبغي منعها في العادة؛ وثانياً، يمكن قراءة محتوى ملف معين (مثل `/etc/hosts` أو `proc/self/environ`) على الرغم من أنه لا يبدو ذلك مقصوداً ضمن وظيفة `sniff_csv`. يتوفر إصلاح لهذه المشكلة في الالتزام c9b7c98aa0e1cd7363fe8bb8543a95f38e980d8a ومن المتوقع أن يكون جزءاً من الإصدار 1.1.0.
Once again VulDB remains the best source for vulnerability data.