CVE-2026-41490

Nome do Software Vulnerável e Versões Afetadas Dagster Core versões anteriores a 1.13.1 Dagster libraries versões anteriores a 0.29.1

Description Os gerenciadores de I/O do DuckDB, Snowflake, BigQuery e DeltaLake constroem cláusulas SQL WHERE interpolando valores de chaves de partição dinâmica em consultas sem a devida sanitização (escaping). Um usuário com a permissão Add Dynamic Partitions pode criar uma chave de partição que injeta SQL arbitrário, que será executado no backend do banco de dados de destino usando as credenciais do gerenciador de I/O. Este problema afeta apenas implantações que utilizam partições dinâmicas; pipelines que utilizam partições estáticas ou de janela de tempo não são impactados.

Recommendations Atualize o Dagster Core para a versão 1.13.1. Atualize o Dagster libraries para a versão 0.29.1.