PT-2025-11222 · Snowflake · Snowflake Jdbc Driver
Publicado
2025-03-13
·
Atualizado
2025-03-13
·
CVE-2025-27496
CVSS v3.1
3.3
Baixa
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Driver JDBC do Snowflake versões 3.0.13 a 3.23.0
Descrição:
O problema envolve o driver JDBC do Snowflake, no qual a chave mestra de criptografia do lado do cliente do stage de destino é registrada localmente quando o nível de log está definido como DEBUG durante comandos GET/PUT. Esta chave, por si só, não concede acesso a dados sensíveis sem autorizações de acesso adicionais e não é registrada no lado do servidor pelo Snowflake.
Recomendações:
Para as versões 3.0.13 a 3.23.0, atualize para a versão 3.23.1 para resolver o problema.
Como medida de contorno temporária, considere definir o nível de log para um valor diferente de DEBUG para evitar o registro local da chave mestra de criptografia do lado do cliente.
Exploit
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Snowflake Jdbc Driver