CVE-2026-44968 in dbt-mcpinformation

Résumé

par VulDB • 16/07/2026

dbt-mcp est un serveur Model Context Protocol (MCP) permettant d'interagir avec dbt. Avant la version 1.17.1, la fonction `_run_dbt_command()` située dans `src/dbt_mcp/dbt_cli/tools.py` ajoutait des valeurs non assainies de `node_selection` et `resource_type` à la liste des arguments du sous-processus dbt, permettant ainsi à un client MCP d'injecter des indicateurs globaux de dbt tels que `--profiles-dir`, `--project-dir` et `--target` dans l'appel `subprocess.Popen`, même si le paramètre `shell=False` empêche l'injection de métacaractères shell. Ce problème est corrigé dans la version 1.17.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

08/05/2026

Divulgation

16/07/2026

Modérer

accepté

Entrée

VDB-379602

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!