CVE-2026-15736 in SQLAlchemyالمعلومات

الملخص

بحسب VulDB • 14/07/2026

تحتوي إصدارات مكتبة Snowflake SQLAlchemy السابقة للإصدار 1.11.0 على عدة ثغرات أمنية، بما في ذلك: قد يسمح المعالجة غير السليمة لمعرفات الأعمدة التي يزودها المستخدم أثناء عمليات الدمج (merge) بحقن SQL عبر مفاتيح مدخلة يتحكم فيها المهاجم. وقد يتمكن المهاجم من استغلال هذا الثقب من خلال أسماء حقول الطلب في نقطة نهاية ديناميكية للعمليات المدمجة (upsert)، مما قد يتيح إمكانية قراءة البيانات الظاهرة لدور قاعدة بيانات التطبيق أو تعديل القيم داخل جملة الدمج نفسها. قد يسمح العرض غير السليم للحروفية للمعاملات المرتبطة عند بناء استعلامات معينة لإنشاء جداول خاصة بـ Snowflake بحقن SQL. وقد يتمكن المهاجم من استغلال هذا الثقب عن طريق تزويد سلسلة نصية مُعدّة بعناية لأي نقطة نهاية للتطبيق تمرر بيانات يتحكم فيها المستخدم عبر واجهة برمجة التطبيقات المتأثرة لبناء الاستعلام، مما قد يؤدي إلى استخراج البيانات بشكل تعسفي ضمن نطاق دور الاتصال. قد يسمح الإرسال غير السليم لبارامترات تكوين الاتصال للمهاجم بجعل المكتبة تقرأ ملفات محلية عشوائية وتنقل محتوياتها إلى نقطة نهاية يتحكم فيها المهاجم. وقد يتمكن المهاجم من استغلال هذا الثقب في بيئات النشر التي تقبل بارامترات اتصال يتحكم فيها المستخدم، مما قد يعرّض الملفات الحساسة المتاحة لعملية التطبيق للخطر. الإصلاح متاح في إصدار Snowflake SQLAlchemy 1.11.0. يجب على المستخدمين الترقية يدوياً.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

SNOWFLAKE

حجز

14/07/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378307

EPSS

0.00267

KEV

لا

النشاطات

منخفض

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!