Plataforma
python
Componente
dbt-core
Corrigido em
8.0.1
CVE-2026-39382 represents a Command Injection vulnerability discovered within the dbt-core project, a tool used by data analysts and engineers for data transformation. This flaw arises from the insecure handling of attacker-controlled input within a bash script, allowing for the potential execution of arbitrary commands. The vulnerability affects versions of dbt-core up to and including bbed8d28354e9c644c5a7df13946a3a0451f9ab9, and a patch addressing this issue has been released.
A vulnerabilidade CVE-2026-39382 no dbt-core reside na forma como o fluxo de trabalho .github/workflows/open-issue-in-repo.yml lida com a saída da ação peter-evans/find-comment. Especificamente, o corpo do comentário recuperado é inserido diretamente em uma declaração if do bash sem uma validação ou sanitização adequadas. Isso permite que um atacante controle o fluxo de execução do script, potencialmente executando comandos arbitrários no ambiente do GitHub Actions. A severidade deste problema depende do contexto em que o dbt é usado e das permissões do usuário que executa o fluxo de trabalho. Um atacante poderia, por exemplo, modificar o comentário para executar comandos que roubem credenciais ou comprometam a segurança do repositório.
Um atacante poderia explorar esta vulnerabilidade injetando código malicioso no corpo de um comentário de um problema de documentação. Quando o fluxo de trabalho do GitHub Actions processar este comentário, o código malicioso será executado como parte da declaração if, permitindo que o atacante controle o fluxo de execução do script. O sucesso da exploração depende da configuração do repositório e das permissões do usuário que executa o fluxo de trabalho. A vulnerabilidade reside no fluxo de trabalho interno do dbt-labs, mas pode afetar qualquer repositório que utilize este fluxo de trabalho ou um similar com uma vulnerabilidade de injeção de comandos.
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
A solução fornecida no commit bbed8d28354e9c644c5a7df13946a3a0451f9ab9 aborda esta vulnerabilidade sanitizando a entrada do corpo do comentário antes de seu uso na declaração if. Recomenda-se atualizar para a versão do dbt-core que contém esta correção o mais rápido possível. Além disso, é crucial revisar e auditar outros fluxos de trabalho do GitHub Actions que utilizem a saída de ações externas, garantindo que a entrada seja validada e escapada corretamente para prevenir a injeção de comandos. Implementar uma política de revisão de código que inclua a validação da entrada de dados é uma prática recomendada.
Actualice dbt-core a la versión corregida (bbed8d28354e9c644c5a7df13946a3a0451f9ab9) o superior para mitigar la vulnerabilidad de inyección de comandos. Asegúrese de revisar las notas de la versión para cualquier cambio importante antes de actualizar. Esta actualización aborda la falta de saneamiento de la salida `comment-body` en el flujo de trabajo reutilizable, previniendo la ejecución de comandos arbitrarios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
dbt-core é uma ferramenta de transformação de dados que permite que analistas e engenheiros de dados transformem seus dados usando práticas semelhantes às de engenheiros de software.
Se você estiver usando o fluxo de trabalho .github/workflows/open-issue-in-repo.yml do dbt-labs ou um fluxo de trabalho similar com uma vulnerabilidade de injeção de comandos, você pode ser vulnerável a esta exploração.
Enquanto não puder atualizar, considere revisar o fluxo de trabalho e adicionar validação ou escape à entrada do corpo do comentário.
Revise os registros de auditoria do GitHub para detectar qualquer atividade incomum no fluxo de trabalho do GitHub Actions.
Consulte o commit bbed8d28354e9c644c5a7df13946a3a0451f9ab9 no repositório dbt-labs/actions para obter mais detalhes sobre a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.