发布日期：2024-10-25
更新日期：2024-11-22

受影响系统：

Snowflake Computing Snowflake Connector for Python < 3.12.3

描述：

---

CVE(CAN) ID: CVE-2024-49750

Snowflake Connector for Python是Snowflake Computing开源的一个接口，用于开发可以连接到 Snowflake 并执行所有标准操作的 Python 应用程序。
Snowflake Connector for Python 3.12.3之前版本存在日志信息泄露漏洞，该漏洞源于当用户将日志级别设置为DEBUG时，可能会记录Duo passcodes和Azure SAS令牌，如果启用了SecretDetector日志格式化器，则其中的错误导致其无法完全屏蔽JWT令牌和某些私钥格式，攻击者可利用该漏洞导致信息泄露。

<**>

建议：

---

厂商补丁：

Snowflake Computing
-------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/snowflakedb/snowflake-connector-python/security/advisories/GHSA-5vvg-pvhp-hv2m

浏览次数：29
严重程度：0（网友投票）