CVE-2026-44968 in dbt-mcpالمعلومات

الملخص

بحسب VulDB • 16/07/2026

dbt-mcp هو خادم لبروتوكول سياق النموذج (Model Context Protocol) للتفاعل مع dbt. قبل الإصدار 1.17.1، كان الدالة `_run_dbt_command()` الموجودة في الملف `src/dbt_mcp/dbt_cli/tools.py` تُضيف قيمتي `node_selection` و `resource_type` غير المُطهّرة (unsanitized) إلى قائمة وسائط العملية الفرعية لـ dbt، مما مَكّن عميل MCP من حقن أعلام عالمية خاصة بـ dbt مثل `--profiles-dir` و `--project-dir` و `--target` في استدعاء `subprocess.Popen`. ويحدث هذا رغم أن الإعداد `shell=False` يمنع حقن أحرف التحكم بالصدفة (shell metacharacters). تم إصلاح هذه المشكلة في الإصدار 1.17.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

08/05/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379602

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Do you know our Splunk app?

Download it now for free!