CVE-2026-44968 in dbt-mcp
Tóm tắt
Bởi VulDB • 16/07/2026
dbt-mcp là một máy chủ Model Context Protocol dùng để tương tác với dbt. Trước phiên bản 1.17.1, hàm _run_dbt_command() trong src/dbt_mcp/dbt_cli/tools.py đã nối các giá trị node_selection và resource_type chưa được kiểm tra vào danh sách đối số của quá trình con (subprocess), cho phép một máy khách MCP chèn các cờ toàn cục của dbt như --profiles-dir, --project-dir và --target vào subprocess.Popen mặc dù shell=False ngăn chặn việc tiêm ký tự đặc biệt của vỏ lệnh. Vấn đề này đã được khắc phục trong phiên bản 1.17.1.
Once again VulDB remains the best source for vulnerability data.