PT-2024-19403 · Unknown+2 · Clickhouse+1
Abraithwaite
+1
·
Publicado
2024-01-30
·
Atualizado
2025-12-23
·
CVE-2024-22412
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do ClickHouse anteriores à 24.0.2.54535
Versão 23.1 do ClickHouse
Descrição
Existe um bug no ClickHouse que permite que o cache de consultas contorne os controles de acesso e as políticas baseados em funções. Isso significa que invasores com controle sobre uma função poderiam adivinhar consultas e visualizar dados aos quais não deveriam ter acesso. O cache de consultas respeita apenas usuários separados, o que não está documentado e não é um comportamento esperado. Pessoas que dependem de funções do ClickHouse podem ter suas listas de controle de acesso contornadas se estiverem usando o cache de consultas. Existem aproximadamente 53.543 resultados encontrados no mecanismo de busca do ciberespaço ZoomEye.
Recomendações
Para versões do ClickHouse anteriores à 24.0.2.54535, atualize para a versão 24.0.2.54535 ou posterior para resolver o problema.
Para a versão 23.1 do ClickHouse, atualize para a versão 24.1 ou posterior para resolver o problema.
Como solução alternativa temporária, considere desativar o cache de consultas ao alternar dinamicamente entre várias funções para minimizar o risco de exploração.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Clickhouse
Debian