Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en ClichHouse (CVE-2024-23689)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/01/2024
Última modificación:
30/05/2025

Descripción

La exposición de información confidencial en excepciones en las versiones clickhouse-r2dbc, com.clickhouse:clickhouse-jdbc y com.clickhouse:clickhouse-client de ClichHouse inferiores a 0.4.6 permite a usuarios no autorizados obtener acceso a las contraseñas de los certificados del cliente a través de los registros de excepciones del cliente. Esto ocurre cuando se especifica 'sslkey' y se genera una excepción, como ClickHouseException o SQLException, durante las operaciones de la base de datos; la contraseña del certificado se incluye en el mensaje de excepción registrado.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:clickhouse:java_libraries:*:*:*:*:*:*:*:* 0.4.6 (excluyendo)