CVE-2018-14669
https://notcve.org/view.php?id=CVE-2018-14669
ClickHouse MySQL client before versions 1.1.54390 had "LOAD DATA LOCAL INFILE" functionality enabled that allowed a malicious MySQL database read arbitrary files from the connected ClickHouse server. El cliente ClickHouse MySQL versiones anteriores a 1.1.54390, tenía habilitada la funcionalidad "LOAD DATA LOCAL INFILE" que permitía a una base de datos MySQL maliciosa leer archivos arbitrarios desde el servidor ClickHouse conectado. • https://clickhouse.yandex/docs/en/security_changelog • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2018-14668
https://notcve.org/view.php?id=CVE-2018-14668
In ClickHouse before 1.1.54388, "remote" table function allowed arbitrary symbols in "user", "password" and "default_database" fields which led to Cross Protocol Request Forgery Attacks. En ClickHouse versiones anteriores a 1.1.54388, la función de tabla "remote" permitía símbolos arbitrarios en los campos "user", "password" y "default_database" que conllevan a ataques de tipo Cross Protocol Request Forgery. • https://clickhouse.yandex/docs/en/security_changelog • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2018-14670
https://notcve.org/view.php?id=CVE-2018-14670
Incorrect configuration in deb package in ClickHouse before 1.1.54131 could lead to unauthorized use of the database. Una configuración incorrecta en el paquete deb en ClickHouse versiones anteriores a 1.1.54131, podría conllevar a un uso no autorizado de la base de datos. • https://clickhouse.yandex/docs/en/security_changelog • CWE-285: Improper Authorization •