LOWCVE-2026-3293CVSS 3.3

Snowflake JDBC Driver 存在通过 SdkProxyRoutePlanner 的不可控资源消耗漏洞

平台

java

组件

net.snowflake:snowflake-jdbc

修复版本

4.0.1

4.0.2

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-3293 影响 Snowflake JDBC 驱动程序，该漏洞源于 SdkProxyRoutePlanner 函数中的正则表达式复杂度问题。攻击者可以通过操纵 nonProxyHosts 参数，导致系统资源过度消耗，影响性能。该漏洞影响 Snowflake JDBC 驱动程序版本小于等于 4.0.1。已发布补丁 5fb0a8a318a2ed87f4022a1f56e742424ba94052。

影响与攻击场景

该漏洞允许攻击者通过构造恶意的 nonProxyHosts 参数，触发正则表达式引擎的过度计算，导致系统资源耗尽，进而影响应用程序的性能和可用性。虽然该漏洞仅能本地执行，但如果攻击者能够获得本地访问权限，例如通过恶意代码注入或配置错误，则可能利用该漏洞进行拒绝服务攻击或进一步的渗透。该漏洞的公开 PoC 意味着攻击者可以轻松地利用该漏洞，因此需要尽快采取措施进行修复。

利用背景

该漏洞已公开 PoC，表明攻击者可以轻松地利用该漏洞。目前尚未观察到大规模的利用活动，但由于 PoC 的公开性，存在被恶意利用的风险。该漏洞被评定为 CVSS 3.3 的低危漏洞，但其潜在影响不容忽视。

哪些人处于风险中翻译中…

Organizations utilizing Snowflake JDBC Driver versions 4.0.1 and earlier are at risk. This includes applications directly interacting with Snowflake databases using the JDBC driver, particularly those with local access to the driver's execution environment. Shared hosting environments where multiple applications share the same JDBC driver instance are also at increased risk.

检测步骤翻译中…

• java / application: Monitor CPU usage and memory consumption of the Snowflake JDBC Driver process. Look for unusual spikes that correlate with JDBC connection activity.

ps aux | grep snowflake-jdbc | awk '{print $3, $4}'

• java / application: Analyze application logs for errors related to regular expression processing or JDBC connection failures. • generic web: If the JDBC driver is used in a web application, monitor web server logs for unusual patterns or errors related to JDBC connections. • database (mysql, redis, mongodb, postgresql): While not directly impacting these databases, monitor the Snowflake instance for increased resource usage that might be triggered by malicious JDBC connections.

攻击时间线

2026-02-27Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

EPSS

0.01% (1% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件net.snowflake:snowflake-jdbc

供应商osv

影响范围修复版本

4.0.0 – 4.0.04.0.1

4.0.1 – 4.0.14.0.2

4.0.14.0.2

弱点分类 (CWE)

CWE-1333 CWE-400

时间线

已保留2026-02-26
发布日期2026-02-27
修改日期2026-03-04
EPSS 更新日期2026-03-23

未修复 — 披露已86天

缓解措施和替代方案

为了缓解 CVE-2026-3293 带来的风险，建议立即升级到 Snowflake JDBC 驱动程序 4.0.2 或更高版本，该版本包含了修复补丁 5fb0a8a318a2ed87f4022a1f56e742424ba94052。如果无法立即升级，可以考虑限制对 JDBC 驱动程序的访问权限，并对 nonProxyHosts 参数进行严格的输入验证，以防止恶意参数的注入。此外，监控系统资源使用情况，及时发现并处理异常情况。

修复方法

将 snowflake-jdbc 库更新到 4.0.1 之后的版本，其中包含 SdkProxyRoutePlanner 函数中 ReDoS 漏洞的修复。请参阅 snowflake-jdbc 的版本说明以获取有关更新的更多详细信息。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-3293 — 正则表达式复杂度问题在 Snowflake JDBC 中?

CVE-2026-3293 是 Snowflake JDBC 驱动程序（版本小于等于 4.0.1）中发现的一个正则表达式复杂度漏洞，攻击者可以通过操纵 nonProxyHosts 参数导致性能下降。

我是否受到 CVE-2026-3293 在 Snowflake JDBC 中影响?

如果您正在使用 Snowflake JDBC 驱动程序版本小于等于 4.0.1，则可能受到此漏洞的影响。请尽快升级到最新版本。

我如何修复 CVE-2026-3293 在 Snowflake JDBC 中?

建议立即升级到 Snowflake JDBC 驱动程序 4.0.2 或更高版本，该版本包含了修复补丁 5fb0a8a318a2ed87f4022a1f56e742424ba94052。

CVE-2026-3293 是否正在被积极利用?

虽然目前尚未观察到大规模的利用活动，但由于 PoC 的公开性，存在被恶意利用的风险。

在哪里可以找到 Snowflake 官方关于 CVE-2026-3293 的公告?

请访问 Snowflake 官方安全公告页面，搜索 CVE-2026-3293 以获取更多信息。