CVE-2026-44968 in dbt-mcp
요약
\~에 의해 VulDB • 2026. 07. 16.
dbt-mcp은 dbt와 상호 작용하기 위한 Model Context Protocol 서버입니다. 버전 1.17.1 이전의 `src/dbt_mcp/dbt_cli/tools.py`에 있는 `_run_dbt_command()` 함수는 정제되지 않은 `node_selection` 및 `resource_type` 값을 dbt 서브프로세스 인자 목록에 추가하여, `shell=False`가 셸 메타문자 주입을 방지하더라도 MCP 클라이언트가 `--profiles-dir`, `--project-dir`, `--target`과 같은 dbt 전역 플래그를 서브프로세스의 Popen으로 주입할 수 있었습니다. 이 문제는 버전 1.17.1에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.