CVE-2024-41672 in DuckDBИнформация

Сводка

по VulDB • 25.06.2026

DuckDB — это система управления базами данных SQL. В версиях 1.0.0 и более ранних содержимое файловой системы доступно для чтения с помощью функции `sniff_csv`, даже при установке параметра `enable_external_access=false`. Эта уязвимость предоставляет злоумышленнику доступ к файловой системе, хотя такой доступ должен быть отключен, а другие аналогичные функции НЕ предоставляют такого доступа. Выявлено два вектора эксплуатации данной уязвимости: во-первых, получение доступа к файлам, которые в обычных условиях должны быть запрещены; во-вторых, возможность чтения содержимого файлов (например, `/etc/hosts`, `proc/self/environ` и т.д.), что не соответствует предполагаемому назначению функции `sniff_csv`. Исправление для этой проблемы доступно в коммите c9b7c98aa0e1cd7363fe8bb8543a95f38e980d8a и, как ожидается, войдет в состав версии 1.1.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub M

Резервировать

18.07.2024

Раскрытие

24.07.2024

Модерация

принято

Вход

VDB-272380

EPSS

0.00813

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!