CVE-2026-44968 in dbt-mcp
Riassunto
di VulDB • 16/07/2026
dbt-mcp è un server Model Context Protocol per l'interazione con dbt. Prima della versione 1.17.1, la funzione _run_dbt_command() in src/dbt_mcp/dbt_cli/tools.py aggiungeva i valori node_selection e resource_type non sanificati all'elenco degli argomenti del subprocesso dbt, consentendo a un client MCP di iniettare flag globali di dbt come --profiles-dir, --project-dir e --target nell'esecuzione tramite subprocess.Popen, anche se shell=False previene l'iniezione di metacaratteri della shell. Questo problema è stato risolto nella versione 1.17.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.