Page 4 of 21 results (0.012 seconds)

CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0

ClickHouse before 19.13.5.44 allows HTTP header injection via the url table function. ClickHouse versiones anteriores a 19.13.5.44, permite una inyección de encabezado HTTP por medio de la función url table. • https://github.com/ClickHouse/ClickHouse/blob/master/CHANGELOG.md https://github.com/ClickHouse/ClickHouse/pull/6466 https://github.com/ClickHouse/ClickHouse/pull/7526/files • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •

CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0

In ClickHouse before 18.12.13, functions for loading CatBoost models allowed path traversal and reading arbitrary files through error messages. En ClickHouse versiones anteriores a 18.12.13, las funciones para cargar modelos CatBoost permitían el salto de ruta (path) y la lectura de archivos arbitrarios por medio de mensajes de error. • https://clickhouse.yandex/docs/en/security_changelog • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0

In ClickHouse before 18.10.3, unixODBC allowed loading arbitrary shared objects from the file system which led to a Remote Code Execution vulnerability. En ClickHouse versiones anteriores a 18.10.3, unixODBC permitía cargar objetos compartidos arbitrarios desde el sistema de archivos, lo que conlleva a una vulnerabilidad de Ejecución de Código Remota. • https://clickhouse.yandex/docs/en/security_changelog • CWE-20: Improper Input Validation •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

ClickHouse MySQL client before versions 1.1.54390 had "LOAD DATA LOCAL INFILE" functionality enabled that allowed a malicious MySQL database read arbitrary files from the connected ClickHouse server. El cliente ClickHouse MySQL versiones anteriores a 1.1.54390, tenía habilitada la funcionalidad "LOAD DATA LOCAL INFILE" que permitía a una base de datos MySQL maliciosa leer archivos arbitrarios desde el servidor ClickHouse conectado. • https://clickhouse.yandex/docs/en/security_changelog • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0

In ClickHouse before 1.1.54388, "remote" table function allowed arbitrary symbols in "user", "password" and "default_database" fields which led to Cross Protocol Request Forgery Attacks. En ClickHouse versiones anteriores a 1.1.54388, la función de tabla "remote" permitía símbolos arbitrarios en los campos "user", "password" y "default_database" que conllevan a ataques de tipo Cross Protocol Request Forgery. • https://clickhouse.yandex/docs/en/security_changelog • CWE-352: Cross-Site Request Forgery (CSRF) •