製品・ソフトウェアに関する情報
Snowflake Inc.のSnowflake CliにおけるSQL インジェクションの脆弱性
Title Snowflake Inc.のSnowflake CliにおけるSQL インジェクションの脆弱性
Summary

Snowflake CLIのバージョン3.19未満において、ローカルCLIパラメータの不適切な無害化により、意図しないSQLの実行が可能となっていました。ユーザーは脆弱なCortex SQLまたはオブジェクト一覧コマンドパスに細工された値を入力することでこの問題を引き起こし、Snowflake CLIがそのユーザーのSnowflakeセッションのコンテキストで意図しないSQLを実行させることができました。成功した悪用は自己注入に限定されており、脆弱なパラメータはプロジェクトファイル、リポジトリ、その他の外部入力ソースではなく、ローカルCLI引数を通じて直接供給されていたため、影響は現在のセッションにすでに付与されている権限に限定されます。この問題の修正はSnowflake CLIバージョン3.19で提供されており、ユーザーは手動でアップグレードを行う必要があります。

Possible impacts ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 29, 2026, midnight
Registration Date July 1, 2026, 11 a.m.
Last Update July 1, 2026, 11 a.m.
CVSS3.0 : 警告
Score 5.4
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年07月01日]
  掲載
July 1, 2026, 11 a.m.

NVD Vulnerability Information
CVE-2026-13746
Summary

Improper neutralization of local CLI parameters in Snowflake CLI versions prior to 3.19 allowed unintended SQL execution. A user could trigger this issue by supplying crafted values to vulnerable Cortex SQL or object listing command paths, causing Snowflake CLI to execute unintended SQL in the context of that user's Snowflake session. Successful exploitation is constrained to self-injection because the vulnerable parameters were supplied directly through local CLI arguments rather than through project files, repositories, or other external input sources, and impact is limited to the privileges already available to the current session. The fix is available in Snowflake CLI version 3.19, and users must manually upgrade.

Publication Date June 30, 2026, 1:16 a.m.
Registration Date June 30, 2026, 4:21 a.m.
Last Update July 1, 2026, 1:13 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:snowflake:snowflake_cli:*:*:*:*:*:*:*:* 2.0.0 3.19.0
Related information, measures and tools
Common Vulnerabilities List