CVE-2026-13744
WysokieCVSS 8.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
Podatność w Snowflake CLI przed wersją 3.19 umożliwiała wykonanie niezamierzonego SQL przez dostarczenie spreparowanego repozytorium, konfiguracji projektu, danych manifestu lub specyfikacji. Atakujący może wykorzystać tę lukę, aby wykonać dowolne zapytania SQL w kontekście sesji ofiary.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego dostępu do danych lub manipulacji nimi w Snowflake, w zależności od uprawnień sesji ofiary. Może to prowadzić do wycieku wrażliwych informacji lub naruszenia integralności danych.
Rekomendacja
Należy niezwłocznie zaktualizować Snowflake CLI do wersji 3.19 lub nowszej. Użytkownicy muszą ręcznie przeprowadzić aktualizację, aby wyeliminować podatność.
Oryginalny opis (angielski, źródło NVD)
Improper neutralization of attacker-controlled content in Snowflake CLI versions prior to 3.19 allowed unintended SQL execution. By supplying crafted repository content, project configuration, manifest data, or specification input, an attacker could cause Snowflake CLI to execute unintended SQL in the context of the victim user's Snowflake session. Successful exploitation requires the victim to process attacker-controlled content through a vulnerable command path and is limited by the privileges assigned to that session. The fix is available in Snowflake CLI version 3.19. Users must manually upgrade.

