CVE-2026-13749 – Codeausführung im Snowpark-Annotation-Processor von Snowflake CLI
Kennzahlen
- CVSS-Basiswert
- 8.8
- EPSS
- 0.37%
- Veröffentlicht
- Aktualisiert
- Quelle
- NVD
Beschreibung
Eine unzureichende Neutralisierung im Callback-Template des Snowpark-Annotation-Processors der Snowflake CLI vor Version 3.19 erlaubte die Ausführung beliebigen Codes während des Bundling oder Deployments einer Anwendung. Über das Netzwerk lassen sich Vertraulichkeit, Integrität und Verfügbarkeit vollständig gefährden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Snowflake CLI 3.19 oder neuer.
Changelog
-
2026-07-14 · zuletzt
- Report neu erstellt.
Automatisch aus dem Vergleich der Datenstände erzeugt (CVSS, Schweregrad, KEV-Status, Ransomware, betroffene Produkte, EPSS-Sprünge ab 5 Prozentpunkten). Nicht redaktionell verfasst.
Betroffene Produkte
Quellen und Referenzen
Weitere Schwachstellen in Snowflake/Databricks
- Azure Databricks – Server-Side Request Forgery (SSRF) mit Privilege Escalation CVE-2026-33107
- Snowflake Snowpark Python SDK: SQL-Injection ermöglicht Rechteausweitung CVE-2026-15062
- Grafana: Snowflake-Datenquelle erlaubt Datei-Lese- und Schreibzugriffe per GET/PUT CVE-2026-28381
- Snowflake SQLAlchemy vor 1.11.0: SQL-Injection über Spaltenbezeichner CVE-2026-15736
- Unbeabsichtigte SQL-Ausführung in Snowflake CLI CVE-2026-13744
- Snowflake CLI: unzureichende Pfadauflösung ermöglicht Auslesen lokaler Dateien CVE-2026-13748
Feed folgen, kostenlos
Priorisierte Schwachstellen per RSS sofort verfolgen, frei zugänglich und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage.
RSS-Feed öffnen Zustellung anfragenÜber diesen Report
- Priorisierung nach KEV-Status, EPSS-Score und CVSS-Basiswert.
- Stündliche Aktualisierung durch die Threat-Intelligence-Pipeline.
- NIS2/CRA-relevante Produkte im DACH-Markt.