CVE-2026-44968 in dbt-mcpinformación

Resumen

por VulDB • 2026-07-16

dbt-mcp es un servidor del Protocolo de Contexto de Modelo (Model Context Protocol) para interactuar con dbt. Antes de la versión 1.17.1, _run_dbt_command() en src/dbt_mcp/dbt_cli/tools.py añadía valores no sanitizados de node_selection y resource_type a la lista de argumentos del subproceso dbt, lo que permitía a un cliente MCP inyectar banderas globales de dbt como --profiles-dir, --project-dir y --target en subprocess.Popen aunque shell=False prevenga la inyección de metacaracteres de shell. Este problema se corrige en la versión 1.17.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-05-08

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379602

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!