Vulnerabilidad en ClichHouse (CVE-2024-23689)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/01/2024
Última modificación:
30/05/2025
Descripción
La exposición de información confidencial en excepciones en las versiones clickhouse-r2dbc, com.clickhouse:clickhouse-jdbc y com.clickhouse:clickhouse-client de ClichHouse inferiores a 0.4.6 permite a usuarios no autorizados obtener acceso a las contraseñas de los certificados del cliente a través de los registros de excepciones del cliente. Esto ocurre cuando se especifica 'sslkey' y se genera una excepción, como ClickHouseException o SQLException, durante las operaciones de la base de datos; la contraseña del certificado se incluye en el mensaje de excepción registrado.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:clickhouse:java_libraries:*:*:*:*:*:*:*:* | 0.4.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/ClickHouse/clickhouse-java/issues/1331
- https://github.com/ClickHouse/clickhouse-java/pull/1334
- https://github.com/ClickHouse/clickhouse-java/releases/tag/v0.4.6
- https://github.com/ClickHouse/clickhouse-java/security/advisories/GHSA-g8ph-74m6-8m7r
- https://github.com/advisories/GHSA-g8ph-74m6-8m7r
- https://vulncheck.com/advisories/vc-advisory-GHSA-g8ph-74m6-8m7r
- https://github.com/ClickHouse/clickhouse-java/issues/1331
- https://github.com/ClickHouse/clickhouse-java/pull/1334
- https://github.com/ClickHouse/clickhouse-java/releases/tag/v0.4.6
- https://github.com/ClickHouse/clickhouse-java/security/advisories/GHSA-g8ph-74m6-8m7r
- https://github.com/advisories/GHSA-g8ph-74m6-8m7r
- https://vulncheck.com/advisories/vc-advisory-GHSA-g8ph-74m6-8m7r