CrateDB 是一个分布式 SQL 数据库，可以轻松实时存储和分析大量数据。

漏洞详情
CrateDB 数据库中有一个 COPY FROM 函数，用于将文件数据导入数据库表。该函数存在缺陷，存在任意文件读取漏洞(CVE-2024-24565)，经过身份验证的攻击者可以使用COPY FROM函数将任意文件内容导入数据库表，导致信息泄露。

影响范围
5.6.0<= CrateDB<5.6.1
5.5.0<= CrateDB<5.5.4
5.4.0<= CrateDB<5.4.8
CrateDB<5.3.9

漏洞复现


修复建议
更新到安全版本。

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://github.com/crate/crate/security/advisories/GHSA-475g-vj6c-xf96
https://github.com/crate/crate/commit/4e857d675683095945dd524d6ba03e692c70ecd6