Zacmode

**Nome do software vulnerável e versões afetadas** DuckDB versões 1.0.0 e anteriores **Descrição** O problema está relacionado à função `sniff csv` no DuckDB, que permite o acesso ao sistema de arquivos mesmo quando `enable external access` está definido como `false`. Isso proporciona a um invasor acesso não autorizado a informações protegidas. Existem dois vetores para este problema: acesso a arquivos que não deveriam ser permitidos e a capacidade de ler o conteúdo de arquivos, como `/etc/hosts` e `proc/self/environ`, o que não é o uso pretendido da função `sniff csv`. **Recomendações** Para as versões 1.0.0 e anteriores, considere desativar o sistema de arquivos local usando a configuração `disabled filesystems` para mitigar o problema. Especificamente, defina `disabled filesystems=‘LocalFileSystem’` para impedir o acesso ao sistema de arquivos local. Como solução temporária, considere desativar a função `sniff csv` até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade, mas espera-se que uma correção faça parte da versão 1.1.0.