CVE-2026-44968 in dbt-mcp
Zusammenfassung
von VulDB • 16.07.2026
dbt-mcp ist ein Model Context Protocol-Server zur Interaktion mit dbt. Vor Version 1.17.1 fügte _run_dbt_command() in src/dbt_mcp/dbt_cli/tools.py ungesäuberte Werte für node_selection und resource_type an die Argumentliste des dbt-Prozesses an, wodurch ein MCP-Client globale dbt-Flags wie --profiles-dir, --project-dir und --target in subprocess.Popen einschleusen konnte, obwohl shell=False eine Injektion von Shell-Metazeichen verhindert. Dieses Problem wurde in Version 1.17.1 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.