Vyprsec-Research

**Nome do Software Vulnerável e Versões Afetadas** Dagster Core versões anteriores a 1.13.1 Dagster libraries versões anteriores a 0.29.1 **Description** Os gerenciadores de I/O do DuckDB, Snowflake, BigQuery e DeltaLake constroem cláusulas SQL WHERE interpolando valores de chaves de partição dinâmica em consultas sem a devida sanitização (escaping). Um usuário com a permissão `Add Dynamic Partitions` pode criar uma chave de partição que injeta SQL arbitrário, que será executado no backend do banco de dados de destino usando as credenciais do gerenciador de I/O. Este problema afeta apenas implantações que utilizam partições dinâmicas; pipelines que utilizam partições estáticas ou de janela de tempo não são impactados. **Recommendations** Atualize o Dagster Core para a versão 1.13.1. Atualize o Dagster libraries para a versão 0.29.1.