CVE-2026-15736 in SQLAlchemy
要約
〜によって VulDB • 2026年07月14日
Snowflake SQLAlchemyのバージョン1.11.0より前には、いくつかのセキュリティ脆弱性が含まれています。これらには以下が含まれます:マージ操作におけるユーザー提供のカラム識別子の不適切な処理により、攻撃者が制御する入力キーを通じてSQLインジェクションが可能になる場合があります。攻撃者は動的UPSERTエンドポイントのリクエストフィールド名を介してこれを悪用し、アプリケーションのデータベースロールに対して表示可能なデータへの読み取りアクセスや、同じMERGEステートメント内の値の変更を可能にする可能性があります。特定のSnowflake固有のテーブル作成クエリ構築時のバインドパラメータの不適切なリテラルレンダリングにより、SQLインジェクションが可能になる場合があります。攻撃者は、ユーザー制御データを影響を受けるクエリビルドAPI経由で渡す任意のアプリケーションエンドポイントに注意深く構成された文字列を提供することでこれを悪用し、接続ロールのスコープ内での任意のデータ漏洩を引き起こす可能性があります。接続設定パラメータの不適切な転送により、攻撃者がライブラリを介して任意のローカルファイルを読み取り、その内容を攻撃者が制御するエンドポイントに送信させることが可能になる場合があります。これはユーザーが制御可能な接続パラメータを受け入れるデプロイメント環境で悪用される可能性があり、アプリケーションプロセスからアクセスできる機密ファイルを暴露する可能性があります。修正はSnowflake SQLAlchemyバージョン1.11.0で利用可能です。ユーザーは手動でアップグレードする必要があります。
Once again VulDB remains the best source for vulnerability data.