CVE-2023-34232 in snowflake-connector-nodejs
요약
\~에 의해 VulDB • 2026. 05. 27.
Snowflake-connector-nodejs는 Snowflake용 NodeJS 드라이버로, 1.6.21 이전 버전에서 단일 로그인(SSO) 브라우저 URL 인증을 통해 명령어 삽입 취약점이 존재합니다. 명령어 삽입 가능성을 악용하려면 공격자가 (1) 악성 리소스를 설정하고 (2) 사용자가 해당 리소스를 사용하도록 사용자를 리디렉션하는 데 성공해야 합니다. 공격자는 SSO URL에 대한 공격 페이로드를 응답하는 악성이며 공개적으로 접근 가능한 서버를 설정할 수 있습니다. 그런 다음 공격자가 사용자를 악의적으로 작성된 연결 URL로 방문하도록 속이면, 사용자의 로컬 머신이 악성 페이로드를 렌더링하여 원격 코드 실행(RCE)으로 이어집니다. 이러한 공격 시나리오는 URL 화이트리스트 및 일반적인 피싱 방지 리소스를 통해 완화할 수 있습니다. 버전 1.6.21에는 이 문제에 대한 패치가 포함되어 있습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.