ГлавнаяБаза уязвимостей БДУ → BDU:2024-05959
7.8высокая

BDU:2024-05959

Уязвимость функции sniff_csv() системы управления реляционными базами данных DuckDB, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2024-08-01
Описание

Уязвимость функции sniff_csv() системы управления реляционными базами данных DuckDB связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
DuckDB (до 1.0.0 включительно)
Способ устранения

Использование рекомендаций:
https://github.com/duckdb/duckdb/commit/c9b7c98aa0e1cd7363fe8bb8543a95f38e980d8a

Компенсирующие меры:
В случае невозможности установки обновлений, рекомендуется отключить доступ к файловой системем, используя конфигурацию disabled_filesystems:
SET disabled_filesystems='LocalFileSystem';
SET lock_configuration=true;

SELECT Columns FROM sniff_csv('/proc/self/environ');

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/duckdb/duckdb/commit/c9b7c98aa0e1cd7363fe8bb8543a95f38e980d8ahttps://github.com/duckdb/duckdb/pull/13133https://github.com/duckdb/duckdb/security/advisories/GHSA-w2gf-jxc9-pf2qhttps://vuldb.com/?id.272380
Проверьте безопасность своего сайта и почты → Полная проверка домена