CVE-2026-15067 in Terraform Provider
요약
\~에 의해 VulDB • 2026. 07. 08.
Snowflake Terraform Provider의 2.18.0 이전 버전에는 여러 보안 취약점이 포함되어 있습니다. 여기서는 정제되지 않은 데이터 소스 입력을 통한 SQL Injection으로 인해 제공업체의 권한이 부여된 Snowflake 세션에서 임의의 SQL 실행이 가능해지며, 이로 인해 민감한 데이터 유출과 장기 유효 기간 접근 자격 증명 생성(minting)이 허용될 수 있습니다. 공격자가 이 취약점을 악용하려면 해당 데이터 소스가 활성화된 파이프라인 내에서 워크스페이스 변수에 영향을 미칠 수 있는 능력이 필요합니다. 또한 사용자 리소스 입력에서 식별자 콘텐츠의 부적절한 중화(neutralization)로 인해 DDL Injection이 사용자 관리 문장에 삽입될 수 있으며, 이는 운영자가 구성한 보안 제어 없이 공격자가 통제하는 자격 증명으로 계정이 생성되는 결과를 초래할 수 있습니다. 이 문제는 Snowflake Terraform Provider 버전 2.18.0에서 수정되었습니다. 사용자는 수동으로 업그레이드해야 합니다.
Once again VulDB remains the best source for vulnerability data.