CVE-2024-41672 in DuckDBinfo

Zusammenfassung

von VulDB • 25.06.2026

DuckDB ist ein SQL-Datenbanksystem. In den Versionen 1.0.0 und älter sind Inhalte im Dateisystem mit `sniff_csv` lesbar zugänglich, selbst wenn `enable_external_access=false` gesetzt ist. Diese Schwachstelle ermöglicht es einem Angreifer, auf das Dateisystem zuzugreifen, obwohl der Zugriff deaktiviert sein sollte; andere ähnliche Funktionen bieten keinen solchen Zugang. Es scheinen zwei Vektoren für diese Schwachstelle zu existieren: Erstens der Zugriff auf Dateien, die ansonsten nicht erlaubt wären. Zweitens kann der Inhalt einer Datei gelesen werden (z. B. `/etc/hosts`, `proc/self/environ` usw.), obwohl dies offenbar nicht die beabsichtigte Funktion von `sniff_csv` ist. Eine Korrektur für dieses Problem steht im Commit c9b7c98aa0e1cd7363fe8bb8543a95f38e980d8a zur Verfügung und wird voraussichtlich Teil der Version 1.1.0 sein.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

18.07.2024

Veröffentlichung

24.07.2024

Moderieren

akzeptiert

Eintrag

VDB-272380

CPE

bereit

EPSS

0.00813

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!