製品・ソフトウェアに関する情報
Snowflake Inc.のSnowflake Cliにおけるコードインジェクションの脆弱性
Title Snowflake Inc.のSnowflake Cliにおけるコードインジェクションの脆弱性
Summary

Snowflake CLIのバージョン3.19より前のSnowparkアノテーションプロセッサコールバックテンプレートにおける不適切な無害化により、アプリケーションのバンドルやデプロイ時に任意のコード実行が可能でした。攻撃者は、生成されたPythonコードに差し込まれる細工されたプロジェクト内容を提供することで、Snowflake CLIに攻撃者制御下のコードをCLIを実行しているユーザのローカルコンテキストで実行させることができます。攻撃の成功には、被害者が攻撃者制御下のプロジェクト内容を対象とした該当バンドルまたはデプロイのワークフローを実行する必要があり、その際に実行されるコードは当該ローカル実行コンテキストの権限で動作します。修正はSnowflake CLIバージョン3.19で提供されており、利用者は手動でアップグレードを行う必要があります。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 29, 2026, midnight
Registration Date July 1, 2026, 10:59 a.m.
Last Update July 1, 2026, 10:59 a.m.
CVSS3.0 : 重要
Score 8.8
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年07月01日]
  掲載
July 1, 2026, 10:59 a.m.

NVD Vulnerability Information
CVE-2026-13749
Summary

Improper neutralization in the Snowpark annotation processor callback template in Snowflake CLI versions prior to 3.19 allowed arbitrary code execution during application bundling or deployment. An attacker could exploit this by supplying crafted project content that is interpolated into generated Python code, causing Snowflake CLI to execute attacker-controlled code in the local context of the user running the CLI. Successful exploitation requires the victim to run the relevant bundling or deployment workflow against attacker-controlled project content, and any resulting code runs with the privileges of that local execution context. The fix is available in Snowflake CLI version 3.19, and users must manually upgrade.

Publication Date June 30, 2026, 1:16 a.m.
Registration Date June 30, 2026, 4:21 a.m.
Last Update July 1, 2026, 1:08 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:snowflake:snowflake_cli:*:*:*:*:*:*:*:* 2.4.0 3.19.0
Related information, measures and tools
Common Vulnerabilities List