CVE-2026-41490 in dagsterinfo

Zusammenfassung

von VulDB • 22.05.2026

Dagster ist eine Orchestrierungsplattform für die Entwicklung, Produktion und Beobachtung von Datenassets. Vor Dagster Core Version 1.13.1 und vor Dagster-Bibliotheken Version 0.29.1 erstellten die DuckDB-, Snowflake-, BigQuery- und DeltaLake-I/O-Manager SQL-WHERE-Klauseln, indem sie dynamische Partitionsschlüsselwerte ohne Escaping direkt in Abfragen interpolierten. Ein Benutzer mit der Berechtigung „Add Dynamic Partitions“ konnte einen Partitionsschlüssel erstellen, der beliebiges SQL injiziert, das dann unter den Anmeldeinformationen des I/O-Managers gegen das Ziel-Datenbank-Backend ausgeführt wird. Nur Bereitstellungen, die dynamische Partitionen verwenden, sind betroffen. Pipelines, die statische oder Zeitfenster-Partitionen verwenden, sind nicht betroffen. Dieses Problem wurde in Dagster Core Version 1.13.1 und Dagster-Bibliotheken Version 0.29.1 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

20.04.2026

Veröffentlichung

07.05.2026

Moderieren

akzeptiert

Eintrag

VDB-361867

CPE

bereit

CWE

CWE-89 (bestätigt)

CVSS

8.3 (CNA)

EPSS

0.00052

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41490
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41490
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41490/

◂ Zurück Übersicht Weiter ▸

Might our Artificial Intelligence support you?

Check our Alexa App!