Katalog CVE

CVE-2026-13744

WysokieCVSS 8.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

Podatność w Snowflake CLI przed wersją 3.19 umożliwiała wykonanie niezamierzonego SQL przez dostarczenie spreparowanego repozytorium, konfiguracji projektu, danych manifestu lub specyfikacji. Atakujący może wykorzystać tę lukę, aby wykonać dowolne zapytania SQL w kontekście sesji ofiary.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego dostępu do danych lub manipulacji nimi w Snowflake, w zależności od uprawnień sesji ofiary. Może to prowadzić do wycieku wrażliwych informacji lub naruszenia integralności danych.

Rekomendacja

Należy niezwłocznie zaktualizować Snowflake CLI do wersji 3.19 lub nowszej. Użytkownicy muszą ręcznie przeprowadzić aktualizację, aby wyeliminować podatność.

Oryginalny opis (angielski, źródło NVD)

Improper neutralization of attacker-controlled content in Snowflake CLI versions prior to 3.19 allowed unintended SQL execution. By supplying crafted repository content, project configuration, manifest data, or specification input, an attacker could cause Snowflake CLI to execute unintended SQL in the context of the victim user's Snowflake session. Successful exploitation requires the victim to process attacker-controlled content through a vulnerable command path and is limited by the privileges assigned to that session. The fix is available in Snowflake CLI version 3.19. Users must manually upgrade.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS