CVE-2024-41672

DuckDB versões 1.0.0 e anteriores

O problema está relacionado à função sniff csv no DuckDB, que permite o acesso ao sistema de arquivos mesmo quando enable external access está definido como false. Isso proporciona a um invasor acesso não autorizado a informações protegidas. Existem dois vetores para este problema: acesso a arquivos que não deveriam ser permitidos e a capacidade de ler o conteúdo de arquivos, como /etc/hosts e proc/self/environ, o que não é o uso pretendido da função sniff csv.

Para as versões 1.0.0 e anteriores, considere desativar o sistema de arquivos local usando a configuração disabled filesystems para mitigar o problema. Especificamente, defina disabled filesystems=‘LocalFileSystem’ para impedir o acesso ao sistema de arquivos local.

Como solução temporária, considere desativar a função sniff csv até que um patch esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade, mas espera-se que uma correção faça parte da versão 1.1.0.