CVE-2025-46326

Nome do Software Vulnerável e Versões Afetadas Versões do snowflake-connector-net de 2.1.2 a 4.4.0

Descrição O problema refere-se a uma condição de corrida Time-of-Check to Time-of-Use (TOCTOU). Ao utilizar o recurso de Easy Logging no Linux e macOS, o conector lê a configuração de logging a partir de um arquivo fornecido pelo usuário. O conector verifica se o arquivo de configuração pode ser escrito apenas pelo seu proprietário, mas essa verificação é vulnerável a uma condição de corrida TOCTOU e não verifica se o proprietário do arquivo corresponde ao usuário que está executando o conector. Isso poderia permitir que um atacante local com acesso de escrita ao arquivo de configuração ou ao diretório que o contém sobrescrevesse a configuração e obtivesse controle sobre o nível de logging e o local de saída.

Recomendações Para as versões do snowflake-connector-net de 2.1.2 a 4.4.0, atualize para a versão 4.4.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo de configuração e ao diretório que o contém para prevenir modificações não autorizadas. Além disso, certifique-se de que o proprietário do arquivo corresponda ao usuário que está executando o conector para minimizar o risco de exploração.