Snowflake CLI – Unbeabsichtigte SQL-Ausführung durch fehlende Parameter-Neutralisierung
Kennzahlen
- CVSS-Basiswert
- 6.0
- EPSS
- 0.19%
- Veröffentlicht
- Aktualisiert
- Quelle
- NVD
Beschreibung
In der Snowflake CLI vor Version 3.19 erlaubt eine unzureichende Neutralisierung von Parametern die unbeabsichtigte Ausführung von SQL. Ein Angreifer kann dies durch präparierte Werte an anfälligen Befehlspfaden ausnutzen. CVSS-Basiswert: 6.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Update auf Snowflake CLI 3.19 oder neuer.
Changelog
-
2026-07-14 · zuletzt
- Report neu erstellt.
Automatisch aus dem Vergleich der Datenstände erzeugt (CVSS, Schweregrad, KEV-Status, Ransomware, betroffene Produkte, EPSS-Sprünge ab 5 Prozentpunkten). Nicht redaktionell verfasst.
Betroffene Produkte
Quellen und Referenzen
Weitere Schwachstellen in Snowflake/Databricks
- Azure Databricks – Server-Side Request Forgery (SSRF) mit Privilege Escalation CVE-2026-33107
- Snowflake Snowpark Python SDK: SQL-Injection ermöglicht Rechteausweitung CVE-2026-15062
- Grafana: Snowflake-Datenquelle erlaubt Datei-Lese- und Schreibzugriffe per GET/PUT CVE-2026-28381
- CVE-2026-13749 – Codeausführung im Snowpark-Annotation-Processor von Snowflake CLI CVE-2026-13749
- Snowflake SQLAlchemy vor 1.11.0: SQL-Injection über Spaltenbezeichner CVE-2026-15736
- Unbeabsichtigte SQL-Ausführung in Snowflake CLI CVE-2026-13744
Feed folgen, kostenlos
Priorisierte Schwachstellen per RSS sofort verfolgen, frei zugänglich und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage.
RSS-Feed öffnen Zustellung anfragenÜber diesen Report
- Priorisierung nach KEV-Status, EPSS-Score und CVSS-Basiswert.
- Stündliche Aktualisierung durch die Threat-Intelligence-Pipeline.
- NIS2/CRA-relevante Produkte im DACH-Markt.