CVE-2026-13746
NiskieCVSS 3.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
W Snowflake CLI przed wersją 3.19 stwierdzono podatność polegającą na nieprawidłowej neutralizacji lokalnych parametrów CLI, co umożliwiało niezamierzone wykonanie poleceń SQL. Atakujący mógł wykorzystać ten problem poprzez dostarczenie spreparowanych wartości do podatnych poleceń Cortex SQL lub ścieżek wyświetlania obiektów, powodując wykonanie niezamierzonego SQL w kontekście sesji użytkownika.
Ocena ryzyka
Ryzyko dla organizacji jest ograniczone do samoiniekcji, ponieważ podatne parametry pochodzą wyłącznie z lokalnych argumentów CLI, a nie z plików projektu czy zewnętrznych źródeł. Skuteczny atak może prowadzić do wykonania operacji SQL w ramach istniejących uprawnień sesji użytkownika.
Rekomendacja
Należy niezwłocznie zaktualizować Snowflake CLI do wersji 3.19 lub nowszej, która zawiera poprawkę eliminującą tę podatność. Aktualizacja wymaga ręcznego wykonania przez administratora.
Oryginalny opis (angielski, źródło NVD)
Improper neutralization of local CLI parameters in Snowflake CLI versions prior to 3.19 allowed unintended SQL execution. A user could trigger this issue by supplying crafted values to vulnerable Cortex SQL or object listing command paths, causing Snowflake CLI to execute unintended SQL in the context of that user's Snowflake session. Successful exploitation is constrained to self-injection because the vulnerable parameters were supplied directly through local CLI arguments rather than through project files, repositories, or other external input sources, and impact is limited to the privileges already available to the current session. The fix is available in Snowflake CLI version 3.19, and users must manually upgrade.

