CVE-2026-44968 in dbt-mcp
Résumé
par VulDB • 16/07/2026
dbt-mcp est un serveur Model Context Protocol (MCP) permettant d'interagir avec dbt. Avant la version 1.17.1, la fonction `_run_dbt_command()` située dans `src/dbt_mcp/dbt_cli/tools.py` ajoutait des valeurs non assainies de `node_selection` et `resource_type` à la liste des arguments du sous-processus dbt, permettant ainsi à un client MCP d'injecter des indicateurs globaux de dbt tels que `--profiles-dir`, `--project-dir` et `--target` dans l'appel `subprocess.Popen`, même si le paramètre `shell=False` empêche l'injection de métacaractères shell. Ce problème est corrigé dans la version 1.17.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.