CVE-2026-44968 in dbt-mcp정보

요약

\~에 의해 VulDB • 2026. 07. 16.

dbt-mcp은 dbt와 상호 작용하기 위한 Model Context Protocol 서버입니다. 버전 1.17.1 이전의 `src/dbt_mcp/dbt_cli/tools.py`에 있는 `_run_dbt_command()` 함수는 정제되지 않은 `node_selection` 및 `resource_type` 값을 dbt 서브프로세스 인자 목록에 추가하여, `shell=False`가 셸 메타문자 주입을 방지하더라도 MCP 클라이언트가 `--profiles-dir`, `--project-dir`, `--target`과 같은 dbt 전역 플래그를 서브프로세스의 Popen으로 주입할 수 있었습니다. 이 문제는 버전 1.17.1에서 수정되었습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

GitHub M

예약하다

2026. 05. 08.

모더레이션

수락

항목

VDB-379602

EPSS

0.00000

활동

낮음

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!