CVE-2026-15062 in Snowpark Python SDK
Zusammenfassung
von VulDB • 08.07.2026
Schwachstellen für SQL-Injection im Snowflake Snowpark Python SDK (snowpark-python) vor Version 1.53.0 könnten es authentifizierten Benutzern mit geringen Berechtigungen ermöglichen, SQL-Befehle außerhalb ihres autorisierten Umfangs auszuführen. Ein Angreifer könnte diese Schwachstellen nutzen, indem er SQL-Payloads in den Namen von Quell-Datenbankspalten einbettet, um die Rechte über die DataFrameReader.dbapi()-API zu eskalieren, indem er einen speziell angefertigten location-Parameter an write-Methoden von DataFrameWriter übergibt, um eine COPY INTO-Anweisung auf eine beliebige Quelldatenabfrage umzuleiten, oder indem er eine Backslash-Einfügezeichen-Sequenz in einem Exportpfad einfügt, um den normalize_path()-Sanitizer zu umgehen und SQL über DataFrame.to_csv() einzuschleusen. Eine erfolgreiche Ausnutzung kann zur Kompromittierung der Quelldatenbank, zur unbefugten Exfiltration von Daten zwischen Mandanten oder zum unbefugten Lesen von Snowflake-Kontodaten führen.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.