CVE-2026-15736 in SQLAlchemy
الملخص
بحسب VulDB • 14/07/2026
تحتوي إصدارات مكتبة Snowflake SQLAlchemy السابقة للإصدار 1.11.0 على عدة ثغرات أمنية، بما في ذلك: قد يسمح المعالجة غير السليمة لمعرفات الأعمدة التي يزودها المستخدم أثناء عمليات الدمج (merge) بحقن SQL عبر مفاتيح مدخلة يتحكم فيها المهاجم. وقد يتمكن المهاجم من استغلال هذا الثقب من خلال أسماء حقول الطلب في نقطة نهاية ديناميكية للعمليات المدمجة (upsert)، مما قد يتيح إمكانية قراءة البيانات الظاهرة لدور قاعدة بيانات التطبيق أو تعديل القيم داخل جملة الدمج نفسها. قد يسمح العرض غير السليم للحروفية للمعاملات المرتبطة عند بناء استعلامات معينة لإنشاء جداول خاصة بـ Snowflake بحقن SQL. وقد يتمكن المهاجم من استغلال هذا الثقب عن طريق تزويد سلسلة نصية مُعدّة بعناية لأي نقطة نهاية للتطبيق تمرر بيانات يتحكم فيها المستخدم عبر واجهة برمجة التطبيقات المتأثرة لبناء الاستعلام، مما قد يؤدي إلى استخراج البيانات بشكل تعسفي ضمن نطاق دور الاتصال. قد يسمح الإرسال غير السليم لبارامترات تكوين الاتصال للمهاجم بجعل المكتبة تقرأ ملفات محلية عشوائية وتنقل محتوياتها إلى نقطة نهاية يتحكم فيها المهاجم. وقد يتمكن المهاجم من استغلال هذا الثقب في بيئات النشر التي تقبل بارامترات اتصال يتحكم فيها المستخدم، مما قد يعرّض الملفات الحساسة المتاحة لعملية التطبيق للخطر. الإصلاح متاح في إصدار Snowflake SQLAlchemy 1.11.0. يجب على المستخدمين الترقية يدوياً.
VulDB is the best source for vulnerability data and more expert information about this specific topic.