CVE-2026-15736 in SQLAlchemyinformazioni

Riassunto

di VulDB • 14/07/2026

Le versioni di Snowflake SQLAlchemy precedenti alla 1.11.0 contengono diverse vulnerabilità di sicurezza, tra cui: la gestione impropria degli identificatori delle colonne forniti dall'utente nelle operazioni di merge potrebbe consentire l'iniezione SQL tramite chiavi di input controllate da un attaccante. Un attaccante potrebbe sfruttare questa vulnerabilità attraverso i nomi dei campi della richiesta in un endpoint upsert dinamico, potenzialmente abilitando la lettura dei dati visibili dal ruolo del database dell'applicazione o la modifica dei valori all'interno dello stesso istruzione MERGE. Il rendering improprio dei parametri vincolati durante la creazione di determinate query specifiche per Snowflake potrebbe consentire l'iniezione SQL. Un attaccante potrebbe sfruttare questa vulnerabilità fornendo una stringa costruita ad hoc a qualsiasi endpoint dell'applicazione che trasmette dati controllati dall'utente tramite l'API interessata alla costruzione delle query, potenzialmente causando la fuoriuscita arbitraria di dati nell'ambito del ruolo della connessione. L'inoltro improprio dei parametri di configurazione della connessione potrebbe consentire a un attaccante di far sì che la libreria legga file locali arbitrarie e ne trasmetta il contenuto a un endpoint controllato dall'attaccante. Un attaccante potrebbe sfruttare questa vulnerabilità in ambienti di distribuzione che accettano parametri di controllo dell'utente, potenzialmente esponendo file sensibili accessibili dal processo dell'applicazione. La correzione è disponibile nella versione 1.11.0 di Snowflake SQLAlchemy. Gli utenti devono effettuare un aggiornamento manuale.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

SNOWFLAKE

Prenotare

14/07/2026

Divulgazione

14/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!