Platform
python
Component
dbt-core
Opgelost in
8.0.1
CVE-2026-39382 represents a Command Injection vulnerability discovered within the dbt-core project, a tool used by data analysts and engineers for data transformation. This flaw arises from the insecure handling of attacker-controlled input within a bash script, allowing for the potential execution of arbitrary commands. The vulnerability affects versions of dbt-core up to and including bbed8d28354e9c644c5a7df13946a3a0451f9ab9, and a patch addressing this issue has been released.
CVE-2026-39382 in dbt-core ontstaat door de manier waarop de workflow .github/workflows/open-issue-in-repo.yml de uitvoer van de actie peter-evans/find-comment verwerkt. Specifiek wordt de opgehaalde commentaarinhoud direct geïnterpoleerd in een bash if-statement zonder adequate validatie of sanitatie. Dit stelt een aanvaller in staat om de scriptuitvoering te controleren en mogelijk willekeurige commando's binnen de GitHub Actions-omgeving uit te voeren. De ernst van dit probleem hangt af van de context waarin dbt wordt gebruikt en de rechten van de gebruiker die de workflow uitvoert. Een aanvaller zou bijvoorbeeld de commentaarinhoud kunnen wijzigen om commando's uit te voeren die inloggegevens stelen of de beveiliging van de repository compromitteren.
Een aanvaller kan deze kwetsbaarheid uitbuiten door kwaadaardige code in de commentaarinhoud van een documentatieprobleem te injecteren. Wanneer de GitHub Actions-workflow deze commentaarinhoud verwerkt, wordt de kwaadaardige code uitgevoerd als onderdeel van het if-statement, waardoor de aanvaller de scriptuitvoering kan controleren. Het succes van de exploitatie hangt af van de configuratie van de repository en de rechten van de gebruiker die de workflow uitvoert. De kwetsbaarheid bevindt zich in de interne dbt-labs-workflow, maar kan alle repositories beïnvloeden die deze workflow of een vergelijkbare workflow met een command injection-kwetsbaarheid gebruiken.
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
De oplossing die in commit bbed8d28354e9c644c5a7df13946a3a0451f9ab9 wordt aangeboden, pakt deze kwetsbaarheid aan door de commentaarinhoudinvoer te sanitiseren voordat deze in het if-statement wordt gebruikt. Het wordt aanbevolen om zo snel mogelijk te upgraden naar de dbt-core-versie die deze correctie bevat. Bovendien is het cruciaal om andere GitHub Actions-workflows te beoordelen en te auditeren die de uitvoer van externe acties gebruiken, en ervoor te zorgen dat de invoer correct wordt gevalideerd en ontsnapt om command injection te voorkomen. Het implementeren van een code review beleid dat data input validatie omvat, is een aanbevolen praktijk.
Actualice dbt-core a la versión corregida (bbed8d28354e9c644c5a7df13946a3a0451f9ab9) o superior para mitigar la vulnerabilidad de inyección de comandos. Asegúrese de revisar las notas de la versión para cualquier cambio importante antes de actualizar. Esta actualización aborda la falta de saneamiento de la salida `comment-body` en el flujo de trabajo reutilizable, previniendo la ejecución de comandos arbitrarios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
dbt-core is een tool voor datatransformatie waarmee data-analisten en -ingenieurs hun gegevens kunnen transformeren met behulp van praktijken die vergelijkbaar zijn met die van software-ingenieurs.
Als u de workflow .github/workflows/open-issue-in-repo.yml van dbt-labs of een vergelijkbare workflow met een command injection-kwetsbaarheid gebruikt, kunt u kwetsbaar zijn voor deze exploitatie.
Als u nog niet kunt updaten, overweeg dan om de workflow te bekijken en validatie of ontsnapping toe te voegen aan de commentaarinhoudinvoer.
Controleer de GitHub-auditlogboeken op ongebruikelijke activiteit in de GitHub Actions-workflow.
Raadpleeg de commit bbed8d28354e9c644c5a7df13946a3a0451f9ab9 in de dbt-labs/actions repository voor meer details over de correctie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.