CVE-2026-15736 in SQLAlchemy
요약
\~에 의해 VulDB • 2026. 07. 14.
Snowflake SQLAlchemy 버전 1.11.0 미만의 제품에는 여러 가지 보안 취약점이 포함되어 있습니다. 여기에는 다음과 같은 사항이 포함됩니다: 병합(merge) 작업에서 사용자 제공 열 식별자의 부적절한 처리로 인해 공격자가 제어하는 입력 키를 통해 SQL 인젝션(SQL Injection)이 허용될 수 있습니다. 공격자는 동적 Upsert 엔드포인트의 요청 필드 이름을 통해 이를 악용할 가능성이 있으며, 이는 응용 프로그램 데이터베이스 역할에 의해 표시되는 데이터에 대한 읽기 접근 권한을 얻거나 동일한 MERGE 문 내 값 수정을 가능하게 할 수 있습니다. 특정 Snowflake 전용 테이블 생성 쿼리를 작성할 때 바인딩된 매개변수의 부적절한 리터럴 렌더링으로 인해 SQL 인젝션이 허용될 수 있습니다. 공격자는 영향을 받는 쿼리 빌드 API를 통해 사용자 제어 데이터를 전달하는 모든 응용 프로그램 엔드포인트에 조작된 문자열을 제공하여 이를 악용할 가능성이 있으며, 이는 연결 역할 범위 내에서 임의의 데이터 유출을 초래할 수 있습니다. 연결 구성 매개변수의 부적절한 포워딩으로 인해 공격자가 라이브러리로 하여금 임의의 로컬 파일을 읽고 그 내용을 공격자가 제어하는 엔드포인트로 전송하도록 할 수 있습니다. 공격자는 사용자 제어 연결 파라미터를 허용하는 배포 환경에서 이를 악용하여 응용 프로그램 프로세스가 접근 가능한 민감한 파일이 노출될 가능성을 높일 수 있습니다. 수정 버전은 Snowflake SQLAlchemy 1.11.0에서 사용할 수 있습니다. 사용자는 수동으로 업그레이드해야 합니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.