Vulnerabilidad en DuckDB (CVE-2024-41672)
Severidad:
ALTA
Type:
CWE-200
Revelación de información
Fecha de publicación:
24/07/2024
Última modificación:
25/07/2024
Descripción
DuckDB es un sistema de gestión de bases de datos SQL. En las versiones 1.0.0 y anteriores, se puede acceder al contenido del sistema de archivos para su lectura usando `sniff_csv`, incluso con `enable_external_access=false`. Esta vulnerabilidad proporciona a un atacante acceso al sistema de archivos incluso cuando se espera que el acceso esté deshabilitado y otras funciones similares NO brindan acceso. Parece haber dos vectores de esta vulnerabilidad. En primer lugar, el acceso a archivos que de otro modo no deberían permitirse. En segundo lugar, el contenido de un archivo se puede leer (por ejemplo, `/etc/hosts`, `proc/self/environ`, etc.) aunque esa no parezca ser la intención de la función sniff_csv. Hay una solución para este problema disponible en la confirmación c9b7c98aa0e1cd7363fe8bb8543a95f38e980d8a y se espera que forme parte de la versión 1.1.0.
Impacto
Puntuación base 3.x
7.50
Severidad 3.x
ALTA