漏洞描述 CrateDB是CrateDB公司的一个分布式且可扩展的 SQL 数据库。 CrateDB 5.3.9之前、5.4.8之前、5.5.4之前和5.6.1之前版本存在路径遍历漏洞,该漏洞源于COPY FROM函数存在缺陷,攻击者利用该漏洞可以使用COPYFROM函数将任意文件内容导入到数据库表中,从而导致信息泄露。
相关漏洞推荐 POC CVE-2024-24565: CrateDB Database - Arbitrary File Read POC CVE-2024-24565: CrateDB数据库任意文件读取漏洞 CrateDB /_sql 文件读取漏洞(CVE-2024-24565) CrateDB CVE-2024-24565 信息泄露漏洞