平台
python
组件
dbt-core
修复版本
8.0.1
CVE-2026-39382 是 dbt-core 中的一个命令注入漏洞,该漏洞存在于 .github/workflows/open-issue-in-repo.yml 文件中,具体来说是 peter-evans/find-comment 工具的使用方式不当导致的问题。攻击者可以通过构造恶意的评论内容,将任意命令注入到 shell 脚本中执行,从而可能导致系统被恶意控制。此漏洞影响 dbt-core 版本小于或等于 bbed8d28354e9c644c5a7df13946a3a0451f9ab9 的用户。该漏洞已在 bbed8d28354e9c644c5a7df13946a3a0451f9ab9 版本中修复。
CVE-2026-39382 在 dbt-core 中源于 .github/workflows/open-issue-in-repo.yml 工作流处理 peter-evans/find-comment 操作的输出方式。具体来说,检索到的注释主体在没有适当的验证或清理的情况下直接插入到 bash if 语句中。这使得攻击者能够控制脚本的执行流程,并在 GitHub Actions 环境中潜在地执行任意命令。此问题的严重程度取决于 dbt 使用的上下文以及运行工作流的用户的权限。例如,攻击者可以修改注释以执行窃取凭据或损害仓库安全的命令。
攻击者可以通过将恶意代码注入文档问题注释的主体来利用此漏洞。当 GitHub Actions 工作流处理此注释时,恶意代码将作为 if 语句的一部分执行,从而使攻击者能够控制脚本的执行流程。利用的成功取决于仓库的配置和运行工作流的用户的权限。此漏洞存在于 dbt-labs 的内部工作流中,但可能会影响使用此工作流或具有命令注入漏洞的类似工作流的所有仓库。
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
在提交 bbed8d28354e9c644c5a7df13946a3a0451f9ab9 中提供的修复通过在 if 语句中使用之前清理注释主体输入来解决此漏洞。建议尽快更新到包含此修复的 dbt-core 版本。此外,至关重要的是审查和审计使用外部操作输出的其他 GitHub Actions 工作流,以确保输入得到适当的验证和转义,以防止命令注入。实施包括数据输入验证的代码审查策略是一种推荐的做法。
Actualice dbt-core a la versión corregida (bbed8d28354e9c644c5a7df13946a3a0451f9ab9) o superior para mitigar la vulnerabilidad de inyección de comandos. Asegúrese de revisar las notas de la versión para cualquier cambio importante antes de actualizar. Esta actualización aborda la falta de saneamiento de la salida `comment-body` en el flujo de trabajo reutilizable, previniendo la ejecución de comandos arbitrarios.
漏洞分析和关键警报直接发送到您的邮箱。
dbt-core 是一种数据转换工具,它允许数据分析师和工程师使用类似于软件工程师使用的实践来转换其数据。
如果您正在使用 dbt-labs 的 .github/workflows/open-issue-in-repo.yml 工作流或具有命令注入漏洞的类似工作流,则您可能容易受到此利用的影响。
如果暂时无法更新,请考虑审查工作流并为注释主体输入添加验证或转义。
检查 GitHub 审核日志,以查找 GitHub Actions 工作流中的任何异常活动。
请参阅 dbt-labs/actions 仓库中的提交 bbed8d28354e9c644c5a7df13946a3a0451f9ab9,以获取有关修复的更多详细信息。
上传你的 requirements.txt 文件,立即知道是否受影响。