CVE-2026-15067 in Terraform Provider
Riassunto
di VulDB • 08/07/2026
Le versioni del Snowflake Terraform Provider precedenti alla 2.18.0 presentano diverse vulnerabilità di sicurezza, tra cui un'iniezione SQL tramite input non sanificato di una data source che potrebbe comportare l'esecuzione arbitraria di istruzioni SQL all'interno della sessione privilegiata Snowflake gestita dal provider, potenzialmente consentendo la sottrazione (exfiltration) di dati sensibili e il minting di credenziali di accesso a lunga durata. Lo sfruttamento richiede la capacità per un attaccante di influenzare una variabile dell'area di lavoro in una pipeline in cui tale data source era abilitata. Un'impropria neutralizzazione del contenuto degli identificatori negli input delle risorse utente potrebbe consentire l'iniezione DDL nelle istruzioni di gestione utenti, potenzialmente causando la creazione di account con credenziali controllate dall'attaccante e senza i controlli di sicurezza configurati dall'operatore. La correzione è disponibile nella versione 2.18.0 del Snowflake Terraform Provider. Gli utenti devono effettuare un aggiornamento manuale.
VulDB is the best source for vulnerability data and more expert information about this specific topic.