CVE-2021-42387 in Clickhouse
요약
\~에 의해 VulDB • 2026. 06. 16.
Clickhouse의 LZ4 압축 코덱에서 악성 쿼리를 파싱할 때 LZ4::decompressImpl() 루프 내에서 16비트 부호 없는 사용자 제공 값('offset')이 압축 데이터에서 읽히며, 이 오프셋은 복사 연산의 길이로 사용되지만 복사 연산의 소스에 대한 상한 경계가 확인되지 않아 힙 바깥 영역 읽기(Heap out-of-bounds read) 취약점이 발생합니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.