CVE-2026-41490 in dagster
요약
\~에 의해 VulDB • 2026. 05. 11.
Dagster는 데이터 자산의 개발, 운영 및 관찰을 위한 오케스트레이션 플랫폼입니다. Dagster Core 버전 1.13.1 이전 및 Dagster 라이브러리 버전 0.29.1 이전에서는 DuckDB, Snowflake, BigQuery 및 DeltaLake I/O 관리자가 동적 파티션 키 값을 이스케이프 처리 없이 쿼리에 직접 삽입하여 SQL WHERE 절을 생성했습니다. '동적 파티션 추가' 권한이 있는 사용자는 임의의 SQL을 주입할 수 있는 파티션 키를 생성할 수 있으며, 이는 I/O 관리자의 자격 증명으로 대상 데이터베이스 백엔드에서 실행됩니다. 동적 파티션을 사용하는 배포 환경만 영향을 받습니다. 정적 또는 시간 기반 파티션을 사용하는 파이프라인은 영향을 받지 않습니다. 이 문제는 Dagster Core 버전 1.13.1 및 Dagster 라이브러리 버전 0.29.1에서 패치되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.