Pubblicato il 2026-07-08 · Fonte: NVD NIST
La vulnerabilità CVE-2026-15067 è stata scoperta nel Snowflake Terraform Provider, versioni precedenti alla 2.18.0. Questa vulnerabilità include la possibilità di iniezione SQL attraverso input di dati non sanificati, che potrebbe portare all'esecuzione arbitraria di query SQL sotto la sessione privilegiata del provider Snowflake. Inoltre, è possibile l'iniezione DDL attraverso input di risorse utente non neutralizzati, potenzialmente portando alla creazione di account con credenziali controllate dall'attaccante. La CVSS Score è di 8.8, indicando un impatto alto.
Un attaccante potrebbe sfruttare questa vulnerabilità per eseguire query SQL arbitrarie, esfiltrare dati sensibili e creare credenziali di accesso a lungo termine. Ciò potrebbe avere gravi conseguenze per la sicurezza dei dati e la protezione degli utenti. I sistemi a rischio sono quelli che utilizzano il Snowflake Terraform Provider in versioni precedenti alla 2.18.0.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, è necessario aggiornare il Snowflake Terraform Provider alla versione 2.18.0 o successiva. Gli utenti devono eseguire manualmente l'aggiornamento per proteggere i propri sistemi. In generale, è buona pratica mantenere sempre aggiornati i software e le librerie per prevenire vulnerabilità note.
La vulnerabilità CVE-2026-15067 è una vulnerabilità di sicurezza nel Snowflake Terraform Provider che permette iniezioni SQL e DDL.
L'impatto della vulnerabilità include l'esecuzione arbitraria di query SQL, l'esfiltrazione di dati sensibili e la creazione di credenziali di accesso a lungo termine.
Per proteggersi, è necessario aggiornare il Snowflake Terraform Provider alla versione 2.18.0 o successiva e mantenere sempre aggiornati i software e le librerie.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.