漏洞描述
CrateDB 是一个强大的分布式SQL数据库,旨在简化大规模数据的实时存储和分析。它巧妙地融合了SQL数据库的便利性和NoSQL数据库的弹性扩展性,让开发者在处理海量数据时既享受到了SQL的便捷,又体验到了高度可伸缩性的优势。CrateDB数据库中有一个COPY FROM函数,用于将文件数据导入数据库表。此函数存在缺陷,经过身份验证的攻击者可以使用COPY FROM函数将任意文件内容导入数据库表,从而导致信息泄漏。受影响版本包括:<=5.3.8, <=5.4.7, <=5.5.3, 5.6.0。