漏洞概述 Snowflake CLI 存在多个安全漏洞,包括 SQL 注入、路径遍历、任意代码执行和 URL 获取等。这些漏洞可能导致敏感信息泄露或远程代码执行。 影响范围 CVE-2026-13744: Snowflake CLI SQL 注入通过不当的用户控制输入中和。影响版本 1.2.2 至 3.18.0。 CVE-2026-13752: Snowflake CLI SQL 注入通过不当的参数中和。影响版本 1.1.0 至 3.18.0。 CVE-2026-13746: Snowflake CLI SQL 注入通过不当的本地 CLI 参数中和。影响版本 2.0.0 至 3.18.0。 CVE-2026-13748: Snowflake CLI 任意本地文件读取和提取通过不当的文件路径限制。影响版本 0.2.2 至 3.18.0。 CVE-2026-13749: Snowflake CLI 任意代码执行通过 Snowpark 注解处理器模板注入。影响版本 2.4.0 至 3.18.0。 CVE-2026-13750: Snowflake CLI 凭证暴露通过调试日志。影响版本 3.0.0 至 3.18.0。 CVE-2026-13751: Snowflake CLI 服务器端请求伪造通过任意 URL 获取。影响版本 3.6.0 至 3.18.0。 修复方案 这些漏洞已在 Snowflake 版本 3.19.0 中解决。建议用户尽快升级到版本 3.19.0 或更高版本。 附加信息 如果发现漏洞,请报告给 HackerOne。更多信息请参阅 Snowflake 的漏洞披露政策。始终遵循 Snowflake 的安全最佳实践。