CVE-2026-13752
ŚrednieCVSS 6.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
W Snowflake CLI w wersjach starszych niż 3.19 stwierdzono podatność na nieprawidłową neutralizację parametrów, umożliwiającą niezamierzone wykonanie zapytań SQL. Atakujący może wykorzystać to przez dostarczenie spreparowanych wartości do podatnych ścieżek poleceń, co prowadzi do wykonania niezamierzonego SQL w kontekście sesji użytkownika Snowflake.
Ocena ryzyka
Ryzyko polega na możliwości wykonania nieautoryzowanych operacji SQL w sesji użytkownika, co może prowadzić do naruszenia poufności lub integralności danych w Snowflake, w zależności od uprawnień przypisanych do aktywnej sesji.
Rekomendacja
Zaleca się natychmiastową aktualizację Snowflake CLI do wersji 3.19 lub nowszej, ponieważ tylko ta wersja zawiera poprawkę. Użytkownicy muszą ręcznie przeprowadzić aktualizację.
Oryginalny opis (angielski, źródło NVD)
Improper neutralization of parameters in Snowflake CLI versions prior to 3.19 allowed unintended SQL execution. An attacker could exploit this by supplying crafted values to vulnerable command paths, causing Snowflake CLI to execute unintended SQL in the context of the user’s Snowflake session. Successful exploitation required crafted values to reach vulnerable parameters, including through socially engineered input, malicious repository configuration, or compromised automation feeding external values into the CLI, and impact is limited by the privileges assigned to the active session. The fix is available in Snowflake CLI version 3.19, and users must manually upgrade.

