CVE-2025-50213

Опубликовано: 24 июн. 2025

Источник: nvd

CVSS3: 9.8

EPSS Низкий

Описание

Failure to Sanitize Special Elements into a Different Plane (Special Element Injection) vulnerability in Apache Airflow Providers Snowflake.

This issue affects Apache Airflow Providers Snowflake: before 6.4.0.

Sanitation of table and stage parameters were added in CopyFromExternalStageToSnowflakeOperator to prevent SQL injection Users are recommended to upgrade to version 6.4.0, which fixes the issue.

Ссылки

https://github.com/apache/airflow/pull/51734
Issue Tracking
Patch
https://lists.apache.org/thread/2kqfmyt2pghg5f6797g8hzvq331v8qx3
Mailing List
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:apache:apache-airflow-providers-snowflake:*:*:*:*:*:*:*:*

Версия до 6.4.0 (исключая)

EPSS

Процентиль: 19%

0.00062

Низкий

9.8 Critical

CVSS3

Дефекты

CWE-75

Связанные уязвимости

GHSA-9r64-3wmc-x8m8

CVSS3: 9.8

github

около 2 месяцев назад

Apache Airflow Providers Snowflake package allows for Special Element Injection via CopyFromExternalStageToSnowflakeOperator

BDU:2025-09076

CVSS3: 9.8

fstec

около 2 месяцев назад

Уязвимость функции CopyFromExternalStageToSnowflakeOperator() пакета интеграции с облачной платформой данных Apache Airflow Providers Snowflake, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 19%

0.00062

Низкий

9.8 Critical

CVSS3

Дефекты

CWE-75