CVE-2025-46327

Nome do Software Vulnerável e Versões Afetadas Versões do gosnowflake de 1.7.0 a 1.13.3

Descrição O problema está relacionado a uma condição de corrida Time-of-Check to Time-of-Use (TOCTOU). Ao utilizar o recurso Easy Logging no Linux e macOS, o driver lê a configuração de logging a partir de um arquivo fornecido pelo usuário. O driver verifica se o arquivo de configuração pode ser gravado apenas pelo seu proprietário, mas essa verificação é vulnerável a uma condição de corrida TOCTOU e falha em verificar se o proprietário do arquivo corresponde ao usuário que está executando o driver. Isso poderia permitir que um atacante local com acesso de escrita ao arquivo de configuração ou ao diretório que o contém sobrescrevesse a configuração e obtivesse controle sobre o nível de logging e o local de saída.

Recomendações Para as versões de 1.7.0 a 1.13.3, atualize para a versão 1.13.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso de escrita ao arquivo de configuração e ao diretório que o contém para prevenir possível exploração.