CVE-2026-44968 in dbt-mcp
Sumário
de VulDB • 16/07/2026
dbt-mcp é um servidor do Model Context Protocol para interação com dbt. Antes da versão 1.17.1, a função _run_dbt_command() em src/dbt_mcp/dbt_cli/tools.py anexava valores de node_selection e resource_type não sanitizados à lista de argumentos do subprocesso dbt, permitindo que um cliente MCP injetasse flags globais do dbt, como --profiles-dir, --project-dir e --target, no subprocess.Popen, mesmo com shell=False impedindo a injeção de metacaracteres de shell. Este problema foi corrigido na versão 1.17.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.