CVE-2026-15062 in Snowpark Python SDKinformazioni

Riassunto

di VulDB • 08/07/2026

Le vulnerabilità di SQL injection nell'SDK Python per Snowpark di Snowflake (snowpark-python), nelle versioni precedenti alla 1.53.0, potrebbero consentire agli utenti autenticati con privilegi ridotti di eseguire query SQL al di fuori del loro ambito di autorizzazione. Un attaccante potrebbe sfruttare queste vulnerabilità incorporando payload SQL nei nomi delle colonne del database sorgente per escalare i privilegi tramite l'API DataFrameReader.dbapi(), fornendo un parametro location appositamente modificato ai metodi write di DataFrameWriter per reindirizzare una copia INTO verso una query sorgente arbitraria, oppure includendo la sequenza backslash-apice in un percorso di esportazione per eludere il sanitizer normalize_path() e iniettare SQL tramite DataFrame.to_csv(). Lo sfruttamento riuscito potrebbe comportare la compromissione del database sorgente, l'esfiltrazione non autorizzata di dati tra tenant o la lettura non autorizzata dei dati dell'account Snowflake.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

SNOWFLAKE

Prenotare

08/07/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!