Katalog CVE

CVE-2026-13746

NiskieCVSS 3.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

W Snowflake CLI przed wersją 3.19 stwierdzono podatność polegającą na nieprawidłowej neutralizacji lokalnych parametrów CLI, co umożliwiało niezamierzone wykonanie poleceń SQL. Atakujący mógł wykorzystać ten problem poprzez dostarczenie spreparowanych wartości do podatnych poleceń Cortex SQL lub ścieżek wyświetlania obiektów, powodując wykonanie niezamierzonego SQL w kontekście sesji użytkownika.

Ocena ryzyka

Ryzyko dla organizacji jest ograniczone do samoiniekcji, ponieważ podatne parametry pochodzą wyłącznie z lokalnych argumentów CLI, a nie z plików projektu czy zewnętrznych źródeł. Skuteczny atak może prowadzić do wykonania operacji SQL w ramach istniejących uprawnień sesji użytkownika.

Rekomendacja

Należy niezwłocznie zaktualizować Snowflake CLI do wersji 3.19 lub nowszej, która zawiera poprawkę eliminującą tę podatność. Aktualizacja wymaga ręcznego wykonania przez administratora.

Oryginalny opis (angielski, źródło NVD)

Improper neutralization of local CLI parameters in Snowflake CLI versions prior to 3.19 allowed unintended SQL execution. A user could trigger this issue by supplying crafted values to vulnerable Cortex SQL or object listing command paths, causing Snowflake CLI to execute unintended SQL in the context of that user's Snowflake session. Successful exploitation is constrained to self-injection because the vulnerable parameters were supplied directly through local CLI arguments rather than through project files, repositories, or other external input sources, and impact is limited to the privileges already available to the current session. The fix is available in Snowflake CLI version 3.19, and users must manually upgrade.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS