CVE-2026-44968 in dbt-mcpinfo

Zusammenfassung

von VulDB • 16.07.2026

dbt-mcp ist ein Model Context Protocol-Server zur Interaktion mit dbt. Vor Version 1.17.1 fügte _run_dbt_command() in src/dbt_mcp/dbt_cli/tools.py ungesäuberte Werte für node_selection und resource_type an die Argumentliste des dbt-Prozesses an, wodurch ein MCP-Client globale dbt-Flags wie --profiles-dir, --project-dir und --target in subprocess.Popen einschleusen konnte, obwohl shell=False eine Injektion von Shell-Metazeichen verhindert. Dieses Problem wurde in Version 1.17.1 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

08.05.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379602

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!