Snowflake Inc.のSnowflake CliにおけるSQL インジェクションの脆弱性
| Title |
Snowflake Inc.のSnowflake CliにおけるSQL インジェクションの脆弱性
|
| Summary |
Snowflake CLIのバージョン3.19未満において、ローカルCLIパラメータの不適切な無害化により、意図しないSQLの実行が可能となっていました。ユーザーは脆弱なCortex SQLまたはオブジェクト一覧コマンドパスに細工された値を入力することでこの問題を引き起こし、Snowflake CLIがそのユーザーのSnowflakeセッションのコンテキストで意図しないSQLを実行させることができました。成功した悪用は自己注入に限定されており、脆弱なパラメータはプロジェクトファイル、リポジトリ、その他の外部入力ソースではなく、ローカルCLI引数を通じて直接供給されていたため、影響は現在のセッションにすでに付与されている権限に限定されます。この問題の修正はSnowflake CLIバージョン3.19で提供されており、ユーザーは手動でアップグレードを行う必要があります。
|
| Possible impacts |
・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 29, 2026, midnight |
| Registration Date |
July 1, 2026, 11 a.m. |
| Last Update |
July 1, 2026, 11 a.m. |
|
CVSS3.0 : 警告
|
| Score |
5.4
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年07月01日] 掲載 |
July 1, 2026, 11 a.m. |
NVD Vulnerability Information
CVE-2026-13746
| Summary |
Improper neutralization of local CLI parameters in Snowflake CLI versions prior to 3.19 allowed unintended SQL execution. A user could trigger this issue by supplying crafted values to vulnerable Cortex SQL or object listing command paths, causing Snowflake CLI to execute unintended SQL in the context of that user's Snowflake session. Successful exploitation is constrained to self-injection because the vulnerable parameters were supplied directly through local CLI arguments rather than through project files, repositories, or other external input sources, and impact is limited to the privileges already available to the current session. The fix is available in Snowflake CLI version 3.19, and users must manually upgrade.
|
| Publication Date |
June 30, 2026, 1:16 a.m. |
| Registration Date |
June 30, 2026, 4:21 a.m. |
| Last Update |
July 1, 2026, 1:13 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:snowflake:snowflake_cli:*:*:*:*:*:*:*:* |
2.0.0 |
|
|
3.19.0 |
Related information, measures and tools
Common Vulnerabilities List