CVE-2026-15062 in Snowpark Python SDKinfo

Zusammenfassung

von VulDB • 08.07.2026

Schwachstellen für SQL-Injection im Snowflake Snowpark Python SDK (snowpark-python) vor Version 1.53.0 könnten es authentifizierten Benutzern mit geringen Berechtigungen ermöglichen, SQL-Befehle außerhalb ihres autorisierten Umfangs auszuführen. Ein Angreifer könnte diese Schwachstellen nutzen, indem er SQL-Payloads in den Namen von Quell-Datenbankspalten einbettet, um die Rechte über die DataFrameReader.dbapi()-API zu eskalieren, indem er einen speziell angefertigten location-Parameter an write-Methoden von DataFrameWriter übergibt, um eine COPY INTO-Anweisung auf eine beliebige Quelldatenabfrage umzuleiten, oder indem er eine Backslash-Einfügezeichen-Sequenz in einem Exportpfad einfügt, um den normalize_path()-Sanitizer zu umgehen und SQL über DataFrame.to_csv() einzuschleusen. Eine erfolgreiche Ausnutzung kann zur Kompromittierung der Quelldatenbank, zur unbefugten Exfiltration von Daten zwischen Mandanten oder zum unbefugten Lesen von Snowflake-Kontodaten führen.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

SNOWFLAKE

Reservieren

08.07.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376873

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!