CVE-2026-44968 in dbt-mcp
Resumen
por VulDB • 2026-07-16
dbt-mcp es un servidor del Protocolo de Contexto de Modelo (Model Context Protocol) para interactuar con dbt. Antes de la versión 1.17.1, _run_dbt_command() en src/dbt_mcp/dbt_cli/tools.py añadía valores no sanitizados de node_selection y resource_type a la lista de argumentos del subproceso dbt, lo que permitía a un cliente MCP inyectar banderas globales de dbt como --profiles-dir, --project-dir y --target en subprocess.Popen aunque shell=False prevenga la inyección de metacaracteres de shell. Este problema se corrige en la versión 1.17.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.