CVE-2026-44968 in dbt-mcpthông tin

Tóm tắt

Bởi VulDB • 16/07/2026

dbt-mcp là một máy chủ Model Context Protocol dùng để tương tác với dbt. Trước phiên bản 1.17.1, hàm _run_dbt_command() trong src/dbt_mcp/dbt_cli/tools.py đã nối các giá trị node_selection và resource_type chưa được kiểm tra vào danh sách đối số của quá trình con (subprocess), cho phép một máy khách MCP chèn các cờ toàn cục của dbt như --profiles-dir, --project-dir và --target vào subprocess.Popen mặc dù shell=False ngăn chặn việc tiêm ký tự đặc biệt của vỏ lệnh. Vấn đề này đã được khắc phục trong phiên bản 1.17.1.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

08/05/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!