dbt présente une Injection de Commande dans les Workflows Réutilisables via une Sortie comment-body Non Validée
Plateforme
python
Composant
dbt-core
Corrigé dans
8.0.1
CVE-2026-39382 represents a Command Injection vulnerability discovered within the dbt-core project, a tool used by data analysts and engineers for data transformation. This flaw arises from the insecure handling of attacker-controlled input within a bash script, allowing for the potential execution of arbitrary commands. The vulnerability affects versions of dbt-core up to and including bbed8d28354e9c644c5a7df13946a3a0451f9ab9, and a patch addressing this issue has been released.
Détecte cette CVE dans ton projet
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.
Impact et Scénarios d'Attaque
La vulnérabilité CVE-2026-39382 dans dbt-core découle de la manière dont le workflow .github/workflows/open-issue-in-repo.yml gère la sortie de l'action peter-evans/find-comment. Plus précisément, le corps du commentaire récupéré est inséré directement dans une instruction if bash sans validation ni assainissement appropriés. Cela permet à un attaquant de contrôler le flux d'exécution du script, pouvant potentiellement exécuter des commandes arbitraires dans l'environnement GitHub Actions. La gravité de ce problème dépend du contexte dans lequel dbt est utilisé et des autorisations de l'utilisateur exécutant le workflow. Un attaquant pourrait, par exemple, modifier le commentaire pour exécuter des commandes qui volent des informations d'identification ou compromettent la sécurité du dépôt.
Contexte d'Exploitation
Un attaquant pourrait exploiter cette vulnérabilité en injectant du code malveillant dans le corps d'un commentaire de problème de documentation. Lorsque le workflow GitHub Actions traite ce commentaire, le code malveillant sera exécuté dans le cadre de l'instruction if, permettant à l'attaquant de contrôler le flux d'exécution du script. Le succès de l'exploitation dépend de la configuration du dépôt et des autorisations de l'utilisateur exécutant le workflow. La vulnérabilité réside dans le workflow interne de dbt-labs, mais pourrait affecter tout dépôt utilisant ce workflow ou un workflow similaire présentant une vulnérabilité d'injection de commandes.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La correction fournie dans le commit bbed8d28354e9c644c5a7df13946a3a0451f9ab9 résout cette vulnérabilité en assainissant l'entrée du corps du commentaire avant son utilisation dans l'instruction if. Il est recommandé de mettre à jour vers la version de dbt-core contenant cette correction dès que possible. De plus, il est crucial de revoir et d'auditer les autres workflows GitHub Actions qui utilisent la sortie d'actions externes, en s'assurant que l'entrée est correctement validée et échappée pour prévenir l'injection de commandes. La mise en œuvre d'une politique de revue de code incluant la validation de l'entrée de données est une pratique recommandée.
Comment corrigertraduction en cours…
Actualice dbt-core a la versión corregida (bbed8d28354e9c644c5a7df13946a3a0451f9ab9) o superior para mitigar la vulnerabilidad de inyección de comandos. Asegúrese de revisar las notas de la versión para cualquier cambio importante antes de actualizar. Esta actualización aborda la falta de saneamiento de la salida `comment-body` en el flujo de trabajo reutilizable, previniendo la ejecución de comandos arbitrarios.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-39382 — Command Injection dans dbt-core ?
dbt-core est un outil de transformation de données qui permet aux analystes et aux ingénieurs de données de transformer leurs données en utilisant des pratiques similaires à celles utilisées par les ingénieurs logiciels.
Suis-je affecté(e) par CVE-2026-39382 dans dbt-core ?
Si vous utilisez le workflow .github/workflows/open-issue-in-repo.yml de dbt-labs ou un workflow similaire présentant une vulnérabilité d'injection de commandes, vous pourriez être vulnérable à cette exploitation.
Comment corriger CVE-2026-39382 dans dbt-core ?
En attendant de pouvoir mettre à jour, envisagez de revoir le workflow et d'ajouter une validation ou un échappement à l'entrée du corps du commentaire.
CVE-2026-39382 est-il activement exploité ?
Examinez les journaux d'audit de GitHub pour détecter toute activité inhabituelle dans le workflow GitHub Actions.
Où trouver l'avis officiel de dbt-core pour CVE-2026-39382 ?
Consultez le commit bbed8d28354e9c644c5a7df13946a3a0451f9ab9 dans le dépôt dbt-labs/actions pour plus de détails sur la correction.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.