Plateforme
python
Composant
dbt-core
Corrigé dans
8.0.1
CVE-2026-39382 represents a Command Injection vulnerability discovered within the dbt-core project, a tool used by data analysts and engineers for data transformation. This flaw arises from the insecure handling of attacker-controlled input within a bash script, allowing for the potential execution of arbitrary commands. The vulnerability affects versions of dbt-core up to and including bbed8d28354e9c644c5a7df13946a3a0451f9ab9, and a patch addressing this issue has been released.
La vulnérabilité CVE-2026-39382 dans dbt-core découle de la manière dont le workflow .github/workflows/open-issue-in-repo.yml gère la sortie de l'action peter-evans/find-comment. Plus précisément, le corps du commentaire récupéré est inséré directement dans une instruction if bash sans validation ni assainissement appropriés. Cela permet à un attaquant de contrôler le flux d'exécution du script, pouvant potentiellement exécuter des commandes arbitraires dans l'environnement GitHub Actions. La gravité de ce problème dépend du contexte dans lequel dbt est utilisé et des autorisations de l'utilisateur exécutant le workflow. Un attaquant pourrait, par exemple, modifier le commentaire pour exécuter des commandes qui volent des informations d'identification ou compromettent la sécurité du dépôt.
Un attaquant pourrait exploiter cette vulnérabilité en injectant du code malveillant dans le corps d'un commentaire de problème de documentation. Lorsque le workflow GitHub Actions traite ce commentaire, le code malveillant sera exécuté dans le cadre de l'instruction if, permettant à l'attaquant de contrôler le flux d'exécution du script. Le succès de l'exploitation dépend de la configuration du dépôt et des autorisations de l'utilisateur exécutant le workflow. La vulnérabilité réside dans le workflow interne de dbt-labs, mais pourrait affecter tout dépôt utilisant ce workflow ou un workflow similaire présentant une vulnérabilité d'injection de commandes.
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
La correction fournie dans le commit bbed8d28354e9c644c5a7df13946a3a0451f9ab9 résout cette vulnérabilité en assainissant l'entrée du corps du commentaire avant son utilisation dans l'instruction if. Il est recommandé de mettre à jour vers la version de dbt-core contenant cette correction dès que possible. De plus, il est crucial de revoir et d'auditer les autres workflows GitHub Actions qui utilisent la sortie d'actions externes, en s'assurant que l'entrée est correctement validée et échappée pour prévenir l'injection de commandes. La mise en œuvre d'une politique de revue de code incluant la validation de l'entrée de données est une pratique recommandée.
Actualice dbt-core a la versión corregida (bbed8d28354e9c644c5a7df13946a3a0451f9ab9) o superior para mitigar la vulnerabilidad de inyección de comandos. Asegúrese de revisar las notas de la versión para cualquier cambio importante antes de actualizar. Esta actualización aborda la falta de saneamiento de la salida `comment-body` en el flujo de trabajo reutilizable, previniendo la ejecución de comandos arbitrarios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
dbt-core est un outil de transformation de données qui permet aux analystes et aux ingénieurs de données de transformer leurs données en utilisant des pratiques similaires à celles utilisées par les ingénieurs logiciels.
Si vous utilisez le workflow .github/workflows/open-issue-in-repo.yml de dbt-labs ou un workflow similaire présentant une vulnérabilité d'injection de commandes, vous pourriez être vulnérable à cette exploitation.
En attendant de pouvoir mettre à jour, envisagez de revoir le workflow et d'ajouter une validation ou un échappement à l'entrée du corps du commentaire.
Examinez les journaux d'audit de GitHub pour détecter toute activité inhabituelle dans le workflow GitHub Actions.
Consultez le commit bbed8d28354e9c644c5a7df13946a3a0451f9ab9 dans le dépôt dbt-labs/actions pour plus de détails sur la correction.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.