CVE-2024-41672 in DuckDB
Сводка
по VulDB • 25.06.2026
DuckDB — это система управления базами данных SQL. В версиях 1.0.0 и более ранних содержимое файловой системы доступно для чтения с помощью функции `sniff_csv`, даже при установке параметра `enable_external_access=false`. Эта уязвимость предоставляет злоумышленнику доступ к файловой системе, хотя такой доступ должен быть отключен, а другие аналогичные функции НЕ предоставляют такого доступа. Выявлено два вектора эксплуатации данной уязвимости: во-первых, получение доступа к файлам, которые в обычных условиях должны быть запрещены; во-вторых, возможность чтения содержимого файлов (например, `/etc/hosts`, `proc/self/environ` и т.д.), что не соответствует предполагаемому назначению функции `sniff_csv`. Исправление для этой проблемы доступно в коммите c9b7c98aa0e1cd7363fe8bb8543a95f38e980d8a и, как ожидается, войдет в состав версии 1.1.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.