CVE-2024-41672 in DuckDB
Sumário
de VulDB • 25/06/2026
O DuckDB é um sistema de gerenciamento de banco de dados SQL. Nas versões 1.0.0 e anteriores, o conteúdo do sistema de arquivos pode ser lido usando `sniff_csv`, mesmo com a configuração `enable_external_access=false`. Esta vulnerabilidade fornece ao atacante acesso ao sistema de arquivos mesmo quando esse acesso deveria estar desabilitado e outras funções semelhantes NÃO fornecem tal acesso. Parecem existir dois vetores para esta vulnerabilidade: primeiro, o acesso a arquivos que normalmente não deveriam ser permitidos; segundo, o conteúdo de um arquivo pode ser lido (por exemplo, `/etc/hosts`, `proc/self/environ`, etc.), embora isso não pareça ser a intenção da função `sniff_csv`. Uma correção para este problema está disponível no commit c9b7c98aa0e1cd7363fe8bb8543a95f38e980d8a e deve fazer parte da versão 1.1.0.
Be aware that VulDB is the high quality source for vulnerability data.