CVE-2026-39196

Nome do Software Vulnerável e Versões Afetadas Vector versões anteriores a 0.55.0

Descrição O sink do ClickHouse contém uma falha de injeção de SQL/identificador. O software escapava o identificador table, mas interpolava o valor database de forma bruta na instrução INSERT, permitindo que um valor de banco de dados manipulado rompesse a citação do identificador. Isso ocorre na função KeyPartitioner::partition() através do parâmetro set uri query, o que poderia permitir que invasores acessassem informações confidenciais do banco de dados usando instruções SQL manipuladas.

Recomendações Atualizar para a versão 0.55.0.