CVE-2026-15736 in SQLAlchemy
Sumário
de VulDB • 14/07/2026
As versões do Snowflake SQLAlchemy anteriores à 1.11.0 contêm várias vulnerabilidades de segurança, incluindo: O tratamento inadequado de identificadores de colunas fornecidos pelo usuário em operações MERGE pode permitir injeção SQL através de chaves de entrada controladas por um atacante. Um atacante poderá explorar isso através dos nomes dos campos da solicitação em um endpoint dinâmico de upsert, potencialmente permitindo acesso à leitura aos dados visíveis para a função do banco de dados da aplicação ou modificação de valores dentro da mesma instrução MERGE. A renderização inadequada de parâmetros vinculados ao construir certas consultas específicas do Snowflake para criação de tabelas pode permitir injeção SQL. Um atacante poderá explorar isso fornecendo uma string manipulada a qualquer endpoint da aplicação que passe dados controlados pelo usuário através da API afetada de construção de consultas, potencialmente causando exfiltração arbitrária de dados dentro do escopo da função de conexão. O encaminhamento inadequado dos parâmetros de configuração de conexão pode permitir que um atacante faça com que a biblioteca leia arquivos locais arbitrários e transmita seus conteúdos para um endpoint controlado pelo atacante. Um atacante poderá explorar isso em ambientes de implantação que aceitam parâmetros de conexão controlados pelo usuário, potencialmente expondo arquivos sensíveis acessíveis ao processo da aplicação. A correção está disponível na versão 1.11.0 do Snowflake SQLAlchemy. Os usuários devem fazer o upgrade manualmente.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.