प्लेटफ़ॉर्म
python
घटक
dbt-core
में ठीक किया गया
8.0.1
CVE-2026-39382 represents a Command Injection vulnerability discovered within the dbt-core project, a tool used by data analysts and engineers for data transformation. This flaw arises from the insecure handling of attacker-controlled input within a bash script, allowing for the potential execution of arbitrary commands. The vulnerability affects versions of dbt-core up to and including bbed8d28354e9c644c5a7df13946a3a0451f9ab9, and a patch addressing this issue has been released.
CVE-2026-39382 dbt-core में .github/workflows/open-issue-in-repo.yml वर्कफ़्लो द्वारा peter-evans/find-comment एक्शन के आउटपुट को संभालने के तरीके के कारण उत्पन्न होता है। विशेष रूप से, पुनर्प्राप्त टिप्पणी बॉडी को उचित सत्यापन या सैनिटाइजेशन के बिना सीधे bash if स्टेटमेंट में डाला जाता है। यह एक हमलावर को स्क्रिप्ट के निष्पादन प्रवाह को नियंत्रित करने की अनुमति देता है, संभावित रूप से GitHub Actions वातावरण के भीतर मनमाना कमांड निष्पादित करता है। इस मुद्दे की गंभीरता dbt के उपयोग के संदर्भ और वर्कफ़्लो चलाने वाले उपयोगकर्ता की अनुमतियों पर निर्भर करती है। उदाहरण के लिए, एक हमलावर क्रेडेंशियल्स चुराने या रिपॉजिटरी की सुरक्षा से समझौता करने के लिए कमांड निष्पादित करने के लिए टिप्पणी को संशोधित कर सकता है।
एक हमलावर दस्तावेज़ समस्या टिप्पणी के शरीर में दुर्भावनापूर्ण कोड इंजेक्ट करके इस भेद्यता का फायदा उठा सकता है। जब GitHub Actions वर्कफ़्लो इस टिप्पणी को संसाधित करता है, तो दुर्भावनापूर्ण कोड if स्टेटमेंट के हिस्से के रूप में निष्पादित किया जाएगा, जिससे हमलावर को स्क्रिप्ट के निष्पादन प्रवाह को नियंत्रित करने की अनुमति मिलती है। शोषण की सफलता रिपॉजिटरी के कॉन्फ़िगरेशन और वर्कफ़्लो चलाने वाले उपयोगकर्ता की अनुमतियों पर निर्भर करती है। यह भेद्यता dbt-labs के आंतरिक वर्कफ़्लो में मौजूद है, लेकिन इस वर्कफ़्लो या कमांड इंजेक्शन भेद्यता वाले समान वर्कफ़्लो का उपयोग करने वाले सभी रिपॉजिटरी को प्रभावित कर सकती है।
एक्सप्लॉइट स्थिति
EPSS
0.06% (19% शतमक)
CISA SSVC
bbed8d28354e9c644c5a7df13946a3a0451f9ab9 में प्रदान किया गया फिक्स if स्टेटमेंट में उपयोग करने से पहले टिप्पणी बॉडी इनपुट को सैनिटाइज करके इस भेद्यता को संबोधित करता है। जल्द से जल्द उस dbt-core संस्करण में अपडेट करने की सिफारिश की जाती है जिसमें यह फिक्स शामिल है। इसके अतिरिक्त, बाहरी क्रियाओं के आउटपुट का उपयोग करने वाले अन्य GitHub Actions वर्कफ़्लो की समीक्षा और ऑडिट करना महत्वपूर्ण है, यह सुनिश्चित करना कि इनपुट को कमांड इंजेक्शन को रोकने के लिए उचित रूप से मान्य और एस्केप किया गया है। डेटा इनपुट सत्यापन सहित कोड समीक्षा नीति को लागू करना एक अनुशंसित अभ्यास है।
Actualice dbt-core a la versión corregida (bbed8d28354e9c644c5a7df13946a3a0451f9ab9) o superior para mitigar la vulnerabilidad de inyección de comandos. Asegúrese de revisar las notas de la versión para cualquier cambio importante antes de actualizar. Esta actualización aborda la falta de saneamiento de la salida `comment-body` en el flujo de trabajo reutilizable, previniendo la ejecución de comandos arbitrarios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
dbt-core एक डेटा ट्रांसफॉर्मेशन टूल है जो डेटा विश्लेषकों और इंजीनियरों को सॉफ्टवेयर इंजीनियरों द्वारा उपयोग किए जाने वाले समान प्रथाओं का उपयोग करके उनके डेटा को ट्रांसफ़ॉर्म करने की अनुमति देता है।
यदि आप dbt-labs के .github/workflows/open-issue-in-repo.yml वर्कफ़्लो या कमांड इंजेक्शन भेद्यता वाले समान वर्कफ़्लो का उपयोग कर रहे हैं, तो आप इस शोषण के प्रति संवेदनशील हो सकते हैं।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो वर्कफ़्लो की समीक्षा करने और टिप्पणी बॉडी इनपुट में सत्यापन या एस्केप जोड़ने पर विचार करें।
GitHub Actions वर्कफ़्लो में किसी भी असामान्य गतिविधि के लिए GitHub ऑडिट लॉग की जांच करें।
फिक्स के बारे में अधिक जानकारी के लिए, dbt-labs/actions रिपॉजिटरी में कमिट bbed8d28354e9c644c5a7df13946a3a0451f9ab9 देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।