CVE-2019-18657
https://notcve.org/view.php?id=CVE-2019-18657
ClickHouse before 19.13.5.44 allows HTTP header injection via the url table function. ClickHouse versiones anteriores a 19.13.5.44, permite una inyección de encabezado HTTP por medio de la función url table. • https://github.com/ClickHouse/ClickHouse/blob/master/CHANGELOG.md https://github.com/ClickHouse/ClickHouse/pull/6466 https://github.com/ClickHouse/ClickHouse/pull/7526/files • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVE-2018-14672
https://notcve.org/view.php?id=CVE-2018-14672
In ClickHouse before 18.12.13, functions for loading CatBoost models allowed path traversal and reading arbitrary files through error messages. En ClickHouse versiones anteriores a 18.12.13, las funciones para cargar modelos CatBoost permitían el salto de ruta (path) y la lectura de archivos arbitrarios por medio de mensajes de error. • https://clickhouse.yandex/docs/en/security_changelog • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2018-14671
https://notcve.org/view.php?id=CVE-2018-14671
In ClickHouse before 18.10.3, unixODBC allowed loading arbitrary shared objects from the file system which led to a Remote Code Execution vulnerability. En ClickHouse versiones anteriores a 18.10.3, unixODBC permitía cargar objetos compartidos arbitrarios desde el sistema de archivos, lo que conlleva a una vulnerabilidad de Ejecución de Código Remota. • https://clickhouse.yandex/docs/en/security_changelog • CWE-20: Improper Input Validation •
CVE-2018-14669
https://notcve.org/view.php?id=CVE-2018-14669
ClickHouse MySQL client before versions 1.1.54390 had "LOAD DATA LOCAL INFILE" functionality enabled that allowed a malicious MySQL database read arbitrary files from the connected ClickHouse server. El cliente ClickHouse MySQL versiones anteriores a 1.1.54390, tenía habilitada la funcionalidad "LOAD DATA LOCAL INFILE" que permitía a una base de datos MySQL maliciosa leer archivos arbitrarios desde el servidor ClickHouse conectado. • https://clickhouse.yandex/docs/en/security_changelog • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2018-14668
https://notcve.org/view.php?id=CVE-2018-14668
In ClickHouse before 1.1.54388, "remote" table function allowed arbitrary symbols in "user", "password" and "default_database" fields which led to Cross Protocol Request Forgery Attacks. En ClickHouse versiones anteriores a 1.1.54388, la función de tabla "remote" permitía símbolos arbitrarios en los campos "user", "password" y "default_database" que conllevan a ataques de tipo Cross Protocol Request Forgery. • https://clickhouse.yandex/docs/en/security_changelog • CWE-352: Cross-Site Request Forgery (CSRF) •