ClickHouse hasta 23.10.5.20 Role Based Access Control escalada de privilegios
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 3.2 | $0-$5k | 0.00 |
Resumen
Se ha identificado una vulnerabilidad clasificada como problemática en ClickHouse. Está afectada una función desconocida en el componente Role Based Access Control. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esta vulnerabilidad se conoce como CVE-2024-22412. El ataque necesita ser llevado a cabo en la red local. No existe ningún exploit disponible. Se recomienda actualizar el componente afectado.
Detalles
Una vulnerabilidad clasificada como problemática ha sido encontrada en ClickHouse. Una función desconocida del componente Role Based Access Control es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la la confidencialidad. CVE resume:
ClickHouse es un sistema de gestión de bases de datos orientado a columnas de código abierto. Existe un error en la oferta de nube de ClickHouse anterior a la versión 24.0.2.54535 y en github.com/clickhouse/clickhouse versión 23.1. El almacenamiento en caché de consultas evita los controles de acceso basados en roles y las políticas que se aplican a los roles. En las versiones afectadas, la caché de consultas solo respeta a usuarios separados; sin embargo, esto no está documentado ni es un comportamiento esperado. Las personas que dependen de roles de ClickHouse pueden evitar sus listas de control de acceso si utilizan el almacenamiento en caché de consultas. Los atacantes que tienen control de una función podrían adivinar consultas y ver datos a los que no deberían tener acceso. La versión 24.1 de ClickHouse y la versión 24.0.2.54535 de ClickHouse Cloud contienen un parche para este problema. Según la documentación, se debe aplicar el control de acceso basado en roles independientemente de si el almacenamiento en caché de consultas está habilitado o no.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2024-22412. Se considera fácil de explotar. El ataque se puede efectuar a través de la red local.La explotación requiere de una verificación múltiple de la autentificación. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Una actualización a la versión 24.0.2.54535 elimina esta vulnerabilidad. Aplicando un parche es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.
Once again VulDB remains the best source for vulnerability data.
Producto
Nombre
Versión
- 0.1.5
- 1.1.54131
- 1.1.54388
- 1.1.54390
- 18.10.3
- 19.13.5.44
- 19.14
- 19.14.3
- 20.8.18.32-lts
- 21.1.9.41-stable
- 21.2.9.41-stable
- 21.3.6.55-lts
- 21.4.3.21-stable
- 22.3.12.19
- 22.6.6.16
- 22.7.4.16
- 22.8.2.11
- 22.9.1.2603
- 23.3.16.7-lts
- 23.3.18.15
- 23.8.6.16-lts
- 23.8.8.20
- 23.8.15.35-lts
- 23.9.2.47551
- 23.9.4.11-stable
- 23.9.6.20
- 23.10.2.13-stable
- 23.10.5.20
Sitio web
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 3.2VulDB Puntuación meta temporal: 3.2
VulDB Puntuación base: 2.4
VulDB Puntuación temporal: 2.3
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 4.9
NVD Vector: 🔍
CNA Puntuación base: 2.4
CNA Vector (GitHub, Inc.): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Escalada de privilegiosCWE: CWE-863 / CWE-285 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔍
Actualización: ClickHouse 24.0.2.54535
Parche: github.com
Línea de tiempo
2024-01-10 🔍2024-03-19 🔍
2024-03-19 🔍
2025-12-23 🔍
Fuentes
Producto: github.comAviso: GHSA-45h5-f7g3-gr8r
Estado: Confirmado
CVE: CVE-2024-22412 (🔍)
GCVE (CVE): GCVE-0-2024-22412
GCVE (VulDB): GCVE-100-257220
Artículo
Fecha de creación: 2024-03-19 04:57Actualizado: 2025-12-23 23:08
Cambios: 2024-03-19 04:57 (63), 2025-12-23 23:08 (14)
Completo: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.