CVE-2025-46328

Nome do Software Vulnerável e Versões Afetadas snowflake-connector-nodejs versões 1.10.0 a 2.0.4

Descrição O problema refere-se a uma condição de corrida de Tempo de Verificação para Tempo de Uso (TOCTOU). Ao utilizar o recurso Easy Logging no Linux e macOS, o driver lê a configuração de log de um arquivo fornecido pelo usuário. O driver verifica se o arquivo de configuração pode ser gravado apenas pelo seu proprietário, mas essa verificação é vulnerável a uma condição de corrida TOCTOU e não verifica se o proprietário do arquivo corresponde ao usuário que está executando o driver. Isso poderia permitir que um atacante local com acesso de escrita ao arquivo de configuração ou ao diretório que o contém sobrescrevesse a configuração e obtivesse controle sobre o nível de log e o local de saída.

Recomendações Para as versões do snowflake-connector-nodejs 1.10.0 a 2.0.4, atualize para a versão 2.0.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso de escrita ao arquivo de configuração e ao diretório que o contém para prevenir possível exploração.