<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Snowflake/Databricks</title>
    <link>https://feed.xonatec.ch/produkte/snowflake-databricks</link>
    <description>Priorisierte Schwachstellen-Reports für Snowflake/Databricks. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Tue, 14 Jul 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/snowflake-databricks.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>CVE-2026-15062 — Snowflake Snowpark Python SDK: SQL-Injection ermöglicht Rechteausweitung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15062</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15062</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Snowflake Snowpark Python SDK (snowpark-python) vor Version 1.53.0 bestehen SQL-Injection-Schwachstellen. Authentifizierte Benutzer mit niedrigen Rechten können dadurch SQL-Anweisungen ausserhalb ihres Berechtigungsrahmens ausführen. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: snowpark-python auf Version 1.53.0 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.3%

Betroffene Produkte: snowflake-databricks, python</description>
      <category>Kritisch</category><category>Snowflake/Databricks</category><category>Python</category>
    </item>
    <item>
      <title>CVE-2026-28381 — Grafana: Snowflake-Datenquelle erlaubt Datei-Lese- und Schreibzugriffe per GET/PUT</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-28381</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-28381</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die Snowflake-Datenquelle in Grafana lässt GET/PUT-Kommandos zu. Jeder Benutzer, der Abfragen gegen diese Datenquelle ausführen darf, kann damit Dateien zwischen dem lokalen Grafana-Server und dem angebundenen System lesen und schreiben. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.2%

Betroffene Produkte: grafana, snowflake-databricks</description>
      <category>Kritisch</category><category>Grafana</category><category>Snowflake/Databricks</category>
    </item>
    <item>
      <title>CVE-2026-33107 — Azure Databricks – Server-Side Request Forgery (SSRF) mit Privilege Escalation</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-33107</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-33107</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Azure Databricks ermöglicht eine Server-Side Request Forgery (SSRF)-Schwachstelle einem nicht authentifizierten Angreifer über das Netzwerk eine Rechteausweitung. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 10 · EPSS: 0.1%

Betroffene Produkte: snowflake-databricks</description>
      <category>Kritisch</category><category>Snowflake/Databricks</category>
    </item>
    <item>
      <title>CVE-2026-13749 — CVE-2026-13749 – Codeausführung im Snowpark-Annotation-Processor von Snowflake CLI</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-13749</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-13749</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine unzureichende Neutralisierung im Callback-Template des Snowpark-Annotation-Processors der Snowflake CLI vor Version 3.19 erlaubte die Ausführung beliebigen Codes während des Bundling oder Deployments einer Anwendung. Über das Netzwerk lassen sich Vertraulichkeit, Integrität und Verfügbarkeit vollständig gefährden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Aktualisierung auf Snowflake CLI 3.19 oder neuer.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.4%

Betroffene Produkte: snowflake-databricks</description>
      <category>Hoch</category><category>Snowflake/Databricks</category>
    </item>
    <item>
      <title>CVE-2026-13744 — Unbeabsichtigte SQL-Ausführung in Snowflake CLI</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-13744</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-13744</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine unzureichende Neutralisierung von durch den Angreifer kontrolliertem Inhalt in der Snowflake CLI (Versionen vor 3.19) ermöglichte unbeabsichtigte SQL-Ausführung; über präparierte Repository-Inhalte, Projektkonfigurationen oder Manifeste liess sich dies auslösen. CVSS-Basiswert: 8.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Die Snowflake CLI auf Version 3.19 oder neuer aktualisieren.

Severity: Hoch · CVSS: 8.3 · EPSS: 0.3%

Betroffene Produkte: snowflake-databricks</description>
      <category>Hoch</category><category>Snowflake/Databricks</category>
    </item>
    <item>
      <title>CVE-2026-15736 — Snowflake SQLAlchemy vor 1.11.0: SQL-Injection über Spaltenbezeichner</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15736</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15736</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Snowflake SQLAlchemy in Versionen vor 1.11.0 enthält mehrere Sicherheitsschwachstellen. Unter anderem wird bei Merge-Operationen mit benutzergesteuerten Spaltenbezeichnern eine unzureichende Behandlung genutzt, wodurch eine SQL-Injection möglich ist. CVSS-Basiswert: 8.3 (Hoch). Eine Ausnutzungswahrscheinlichkeit (EPSS) liegt in den Quelldaten nicht vor; eine aktive Ausnutzung (CISA KEV) oder ein Einsatz in Ransomware-Kampagnen sind nicht belegt.

Severity: Hoch · CVSS: 8.3

Betroffene Produkte: snowflake-databricks</description>
      <category>Hoch</category><category>Snowflake/Databricks</category>
    </item>
    <item>
      <title>CVE-2026-13752 — Snowflake CLI – Unbeabsichtigte SQL-Ausführung durch fehlende Parameter-Neutralisierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-13752</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-13752</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Snowflake CLI vor Version 3.19 erlaubt eine unzureichende Neutralisierung von Parametern die unbeabsichtigte Ausführung von SQL. Ein Angreifer kann dies durch präparierte Werte an anfälligen Befehlspfaden ausnutzen. CVSS-Basiswert: 6.0 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Update auf Snowflake CLI 3.19 oder neuer.

Severity: Mittel · CVSS: 6 · EPSS: 0.2%

Betroffene Produkte: snowflake-databricks</description>
      <category>Mittel</category><category>Snowflake/Databricks</category>
    </item>
    <item>
      <title>CVE-2026-13748 — Snowflake CLI: unzureichende Pfadauflösung ermöglicht Auslesen lokaler Dateien</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-13748</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-13748</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine unzureichende Einschränkung der Dateipfad-Auflösung in Snowflake CLI vor Version 3.19 erlaubte das Auslesen beliebiger lokaler Dateiinhalte und deren Übertragung an Snowflake-Dienste. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Snowflake CLI 3.19 oder neuer aktualisieren.

Severity: Mittel · CVSS: 6.3 · EPSS: 0.1%

Betroffene Produkte: snowflake-databricks</description>
      <category>Mittel</category><category>Snowflake/Databricks</category>
    </item>
    <item>
      <title>CVE-2026-13751 — Snowflake CLI: Server-Side Request Forgery über !source/!load-Direktiven</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-13751</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-13751</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der Snowflake CLI vor Version 3.19 ermöglicht die unsachgemässe Behandlung nicht vertrauenswürdiger externer Referenzen Server-Side Request Forgery (SSRF). Die !source/!load-Direktiven des SQL-Statement-Readers konnten auf entfernte Referenzen verweisen. CVSS-Basiswert: 4.1 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: die Snowflake CLI auf Version 3.19 oder neuer aktualisieren.

Severity: Mittel · CVSS: 4.1 · EPSS: 0.1%

Betroffene Produkte: snowflake-databricks</description>
      <category>Mittel</category><category>Snowflake/Databricks</category>
    </item>
    <item>
      <title>CVE-2026-13750 — Snowflake CLI: Klartext-Zugangsdaten in persistenten Debug-Logs</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-13750</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-13750</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Snowflake CLI vor Version 3.19 wurden sensible Informationen in Logdateien geschrieben, sodass Klartext-Zugangsdaten in persistenten lokalen Debug-Logs landen konnten. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf Snowflake CLI 3.19 oder neuer aktualisieren.

Severity: Mittel · CVSS: 5.5 · EPSS: 0.1%

Betroffene Produkte: snowflake-databricks</description>
      <category>Mittel</category><category>Snowflake/Databricks</category>
    </item>
    <item>
      <title>CVE-2026-15183 — Snowflake Spark Connector – mehrere Input-Validierungs-Schwachstellen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-15183</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-15183</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Snowflake Spark Connector (spark-snowflake) in Versionen vor 3.2.1 ermöglichen mehrere Schwachstellen bei der Eingabevalidierung Angreifern laut Quelle unter anderem, OAuth-Client-Credentials zu exfiltrieren und beliebiges SQL auszuführen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: auf Version 3.2.1 oder neuer aktualisieren.

Severity: Mittel

Betroffene Produkte: snowflake-databricks</description>
      <category>Mittel</category><category>Snowflake/Databricks</category>
    </item>
    <item>
      <title>CVE-2026-13746 — Snowflake CLI: Unbeabsichtigte SQL-Ausführung über CLI-Parameter</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-13746</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-13746</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine unzureichende Neutralisierung lokaler CLI-Parameter in der Snowflake CLI in Versionen vor 3.19 erlaubte eine unbeabsichtigte SQL-Ausführung. Ein Nutzer konnte das Problem durch die Übergabe präparierter Werte auslösen. CVSS-Basiswert: 3.6 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Auf Snowflake CLI 3.19 oder neuer aktualisieren.

Severity: Niedrig · CVSS: 3.6 · EPSS: 0.1%

Betroffene Produkte: snowflake-databricks</description>
      <category>Niedrig</category><category>Snowflake/Databricks</category>
    </item>
  </channel>
</rss>
