Snowflake Inc.のSnowflake Cliにおけるコードインジェクションの脆弱性

JVNDB

概要

Snowflake CLIのバージョン3.19より前のSnowparkアノテーションプロセッサコールバックテンプレートにおける不適切な無害化により、アプリケーションのバンドルやデプロイ時に任意のコード実行が可能でした。攻撃者は、生成されたPythonコードに差し込まれる細工されたプロジェクト内容を提供することで、Snowflake CLIに攻撃者制御下のコードをCLIを実行しているユーザのローカルコンテキストで実行させることができます。攻撃の成功には、被害者が攻撃者制御下のプロジェクト内容を対象とした該当バンドルまたはデプロイのワークフローを実行する必要があり、その際に実行されるコードは当該ローカル実行コンテキストの権限で動作します。修正はSnowflake CLIバージョン3.19で提供されており、利用者は手動でアップグレードを行う必要があります。

技術情報

  • 公開日: 2026-07-01T10:59:55+09:00
  • 更新日: 2026-07-01T10:59:55+09:00

参考リンク

JVNDB の詳細はこちら

対処方法

該当ソフトウェアの最新版への更新、または開発元が提供する緩和策の適用を推奨します。運用環境に応じて事前検証の上で実施してください。

免責

本記事は公開情報をもとに自動集約された速報です。正確性・完全性は保証できません。必ず一次情報(上記リンク等)をご確認ください。