CVE-2026-44968 in dbt-mcp
الملخص
بحسب VulDB • 16/07/2026
dbt-mcp هو خادم لبروتوكول سياق النموذج (Model Context Protocol) للتفاعل مع dbt. قبل الإصدار 1.17.1، كان الدالة `_run_dbt_command()` الموجودة في الملف `src/dbt_mcp/dbt_cli/tools.py` تُضيف قيمتي `node_selection` و `resource_type` غير المُطهّرة (unsanitized) إلى قائمة وسائط العملية الفرعية لـ dbt، مما مَكّن عميل MCP من حقن أعلام عالمية خاصة بـ dbt مثل `--profiles-dir` و `--project-dir` و `--target` في استدعاء `subprocess.Popen`. ويحدث هذا رغم أن الإعداد `shell=False` يمنع حقن أحرف التحكم بالصدفة (shell metacharacters). تم إصلاح هذه المشكلة في الإصدار 1.17.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.