CVE-2026-15736 in SQLAlchemyinformação

Sumário

de VulDB • 14/07/2026

As versões do Snowflake SQLAlchemy anteriores à 1.11.0 contêm várias vulnerabilidades de segurança, incluindo: O tratamento inadequado de identificadores de colunas fornecidos pelo usuário em operações MERGE pode permitir injeção SQL através de chaves de entrada controladas por um atacante. Um atacante poderá explorar isso através dos nomes dos campos da solicitação em um endpoint dinâmico de upsert, potencialmente permitindo acesso à leitura aos dados visíveis para a função do banco de dados da aplicação ou modificação de valores dentro da mesma instrução MERGE. A renderização inadequada de parâmetros vinculados ao construir certas consultas específicas do Snowflake para criação de tabelas pode permitir injeção SQL. Um atacante poderá explorar isso fornecendo uma string manipulada a qualquer endpoint da aplicação que passe dados controlados pelo usuário através da API afetada de construção de consultas, potencialmente causando exfiltração arbitrária de dados dentro do escopo da função de conexão. O encaminhamento inadequado dos parâmetros de configuração de conexão pode permitir que um atacante faça com que a biblioteca leia arquivos locais arbitrários e transmita seus conteúdos para um endpoint controlado pelo atacante. Um atacante poderá explorar isso em ambientes de implantação que aceitam parâmetros de conexão controlados pelo usuário, potencialmente expondo arquivos sensíveis acessíveis ao processo da aplicação. A correção está disponível na versão 1.11.0 do Snowflake SQLAlchemy. Os usuários devem fazer o upgrade manualmente.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

SNOWFLAKE

Reservar

14/07/2026

Divulgação

14/07/2026

Moderação

aceite

Entrada

VDB-378307

CPE

pronto

EPSS

0.00267

KEV

não

Atividades

baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!