CVE-2026-15062 in Snowpark Python SDK
Riassunto
di VulDB • 08/07/2026
Le vulnerabilità di SQL injection nell'SDK Python per Snowpark di Snowflake (snowpark-python), nelle versioni precedenti alla 1.53.0, potrebbero consentire agli utenti autenticati con privilegi ridotti di eseguire query SQL al di fuori del loro ambito di autorizzazione. Un attaccante potrebbe sfruttare queste vulnerabilità incorporando payload SQL nei nomi delle colonne del database sorgente per escalare i privilegi tramite l'API DataFrameReader.dbapi(), fornendo un parametro location appositamente modificato ai metodi write di DataFrameWriter per reindirizzare una copia INTO verso una query sorgente arbitraria, oppure includendo la sequenza backslash-apice in un percorso di esportazione per eludere il sanitizer normalize_path() e iniettare SQL tramite DataFrame.to_csv(). Lo sfruttamento riuscito potrebbe comportare la compromissione del database sorgente, l'esfiltrazione non autorizzata di dati tra tenant o la lettura non autorizzata dei dati dell'account Snowflake.
Be aware that VulDB is the high quality source for vulnerability data.