Plataforma
python
Componente
dbt-common
Corregido en
1.37.4
1.34.3
1.34.2
Se ha identificado una vulnerabilidad de Path Traversal en la función safe_extract() de dbt-common, específicamente en versiones hasta 1.9.0. Esta falla permite a un atacante escribir archivos fuera del directorio de destino previsto durante la extracción de archivos tarball. La vulnerabilidad fue publicada el 5 de marzo de 2026 y se recomienda actualizar a la versión 1.34.2 para mitigar el riesgo.
La vulnerabilidad de Path Traversal en dbt-common permite a un atacante malicioso, mediante la manipulación de un archivo tarball, escribir archivos arbitrarios en el sistema de archivos. Esto puede resultar en la ejecución de código arbitrario, la modificación de archivos de configuración críticos o la exfiltración de datos sensibles, dependiendo de los permisos del usuario que ejecuta el proceso de extracción. Un atacante podría, por ejemplo, sobrescribir archivos de configuración de la aplicación o insertar código malicioso en archivos ejecutables, comprometiendo la integridad y confidencialidad del sistema. La falta de una validación adecuada de las rutas de los archivos extraídos es la causa principal de esta vulnerabilidad.
La vulnerabilidad CVE-2026-29790 ha sido publicada públicamente. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a explotación, especialmente en entornos donde se procesan archivos tarball de fuentes no confiables.
Organizations using dbt-common in their data transformation pipelines are at risk, particularly those who accept tarball archives from untrusted sources. Shared hosting environments where multiple users have access to the dbt environment are also at increased risk, as a compromised user could potentially exploit this vulnerability to affect other users.
• python / dbt: Inspect dbt-common version using python -c "import dbtcommon; print(dbtcommon.version)". If the version is ≤1.9.0, the system is vulnerable.
• python / dbt: Monitor dbt logs for any unusual file creation activity within the extraction directory (e.g., /tmp/packages).
• generic web: If dbt is exposed via a web interface, monitor access logs for requests containing suspicious file paths in the tarball archive URL.
disclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.34.2 de dbt-common, donde se ha corregido el problema. Si la actualización no es inmediatamente posible, se recomienda implementar una validación de rutas más robusta en la función safe_extract(). Esto podría incluir el uso de os.path.normpath() para normalizar las rutas y verificar que el prefijo común sea realmente un componente de ruta válido. Además, se puede considerar el uso de un entorno de ejecución con permisos limitados para el proceso de extracción, reduciendo el impacto potencial en caso de explotación. Después de la actualización, confirmar la corrección revisando los logs del sistema en busca de intentos de acceso no autorizados.
Actualice la biblioteca dbt-common a la versión 1.34.2 o superior, o a la versión 1.37.3 o superior, según corresponda, para corregir la vulnerabilidad de recorrido de directorios. Esto evitará que archivos maliciosos sobrescriban archivos fuera del directorio de destino previsto durante la extracción de archivos tarball.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-29790 is a Path Traversal vulnerability affecting dbt-common versions up to 1.9.0, allowing attackers to write files outside the intended extraction directory.
You are affected if you are using dbt-common version 1.9.0 or earlier. Check your version with python -c "import dbtcommon; print(dbtcommon.version)".
Upgrade dbt-common to version 1.34.2 or later to resolve the vulnerability. If immediate upgrade is not possible, restrict tarball sources and implement strict file permissions.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the fix proactively.
Refer to the dbt project's security advisories for the latest information and updates regarding CVE-2026-29790.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.