CVE-2026-44968 in dbt-mcpinformação

Sumário

de VulDB • 16/07/2026

dbt-mcp é um servidor do Model Context Protocol para interação com dbt. Antes da versão 1.17.1, a função _run_dbt_command() em src/dbt_mcp/dbt_cli/tools.py anexava valores de node_selection e resource_type não sanitizados à lista de argumentos do subprocesso dbt, permitindo que um cliente MCP injetasse flags globais do dbt, como --profiles-dir, --project-dir e --target, no subprocess.Popen, mesmo com shell=False impedindo a injeção de metacaracteres de shell. Este problema foi corrigido na versão 1.17.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

08/05/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379602

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!