MEDIUMCVE-2026-39382

dbt には、再利用可能なワークフローにおいて、サニタイズされていない comment-body 出力によるコマンドインジェクションの脆弱性があります

Q: CVE-2026-39382 とは何ですか？（dbt-core の Command Injection）

dbt-core は、データアナリストとデータエンジニアがソフトウェアエンジニアが使用する慣行に似た方法でデータを変換できるデータ変換ツールです。

Q: dbt-core の CVE-2026-39382 による影響を受けていますか？

dbt-labs の `.github/workflows/open-issue-in-repo.yml` ワークフローまたはコマンドインジェクション脆弱性を持つ同様のワークフローを使用している場合は、この悪用に対して脆弱になる可能性があります。

Q: dbt-core の CVE-2026-39382 を修正するにはどうすればよいですか？

すぐにアップデートできない場合は、ワークフローをレビューして、コメント本文入力に検証またはエスケープを追加することを検討してください。

Q: CVE-2026-39382 は積極的に悪用されていますか？

GitHub Actions ワークフローの異常なアクティビティがないか、GitHub の監査ログを確認してください。

Q: CVE-2026-39382 に関する dbt-core の公式アドバイザリはどこで確認できますか？

修正の詳細については、dbt-labs/actions リポジトリのコミット `bbed8d28354e9c644c5a7df13946a3a0451f9ab9` を参照してください。

プラットフォーム

python

コンポーネント

dbt-core

修正版

8.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年4月

NVDで見る

保存

dbt-core はデータアナリストやエンジニアがデータ変換を行うためのツールです。この脆弱性は、.github/workflows/open-issue-in-repo.yml 内の peter-evans/find-comment の出力が適切にエスケープされずに bash の if 文に挿入されることで発生します。影響を受けるバージョンは dbt-core ≤bbed8d28354e9c644c5a7df13946a3a0451f9ab9 です。bbed8d28354e9c644c5a7df13946a3a0451f9ab9 で修正されています。

影響と攻撃シナリオ

CVE-2026-39382 は、dbt-core の .github/workflows/open-issue-in-repo.yml ワークフローが peter-evans/find-comment アクションの出力をどのように処理するかという点に起因します。具体的には、取得したコメント本文が適切な検証やサニタイズなしに bash の if ステートメントに直接挿入されます。これにより、攻撃者はスクリプトの実行フローを制御し、GitHub Actions 環境内で任意のコマンドを実行できる可能性があります。この問題の重大度は、dbt が使用されるコンテキストと、ワークフローを実行するユーザーの権限によって異なります。攻撃者は、たとえば、コメントを修正して、資格情報を盗んだり、リポジトリのセキュリティを損なったりするコマンドを実行する可能性があります。

悪用の状況

攻撃者は、ドキュメントの問題のコメント本文に悪意のあるコードを注入することで、この脆弱性を悪用する可能性があります。GitHub Actions ワークフローがこのコメントを処理すると、悪意のあるコードが if ステートメントの一部として実行され、攻撃者はスクリプトの実行フローを制御できるようになります。悪用の成功は、リポジトリの構成とワークフローを実行するユーザーの権限に依存します。この脆弱性は dbt-labs の内部ワークフローに存在しますが、このワークフローまたはコマンドインジェクション脆弱性を持つ同様のワークフローを使用するすべてのリポジトリに影響を与える可能性があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.06% (19% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントdbt-core

ベンダーdbt-labs

影響範囲修正版

< bbed8d28354e9c644c5a7df13946a3a0451f9ab9 – < bbed8d28354e9c644c5a7df13946a3a0451f9ab98.0.1

弱点分類 (CWE)

CWE-78

タイムライン

予約済み2026-04-06
公開日2026-04-07
更新日2026-04-08
EPSS 更新日2026-04-15

緩和策と回避策

コミット bbed8d28354e9c644c5a7df13946a3a0451f9ab9 で提供される修正は、if ステートメントでの使用前にコメント本文の入力をサニタイズすることで、この脆弱性を解決します。できるだけ早く、この修正を含む dbt-core のバージョンにアップデートすることをお勧めします。さらに、外部アクションの出力を使用する他の GitHub Actions ワークフローをレビューおよび監査し、入力がコマンドインジェクションを防ぐために適切に検証およびエスケープされていることを確認することが重要です。データ入力の検証を含むコードレビューポリシーを実装することが推奨されるプラクティスです。

修正方法翻訳中…

Actualice dbt-core a la versión corregida (bbed8d28354e9c644c5a7df13946a3a0451f9ab9) o superior para mitigar la vulnerabilidad de inyección de comandos.  Asegúrese de revisar las notas de la versión para cualquier cambio importante antes de actualizar.  Esta actualización aborda la falta de saneamiento de la salida `comment-body` en el flujo de trabajo reutilizable, previniendo la ejecución de comandos arbitrarios.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-39382 とは何ですか？（dbt-core の Command Injection）