Roni-Carta

Name of the Vulnerable Software and Affected Versions dbt (affected versions not specified) Description dbt permite que analistas e engenheiros de dados transformem seus dados usando práticas de engenharia de software. Uma falha de injeção de comando existe no fluxo de trabalho localizado em dbt-labs/actions/blob/main/.github/workflows/open-issue-in-repo.yml. A saída da ação `peter-evans/find-comment`, especificamente `steps.issue comment.outputs.comment-body`, é inserida diretamente em uma instrução bash sem a devida proteção. Isso permite que um corpo de comentário malicioso injete comandos shell arbitrários. Recommendations Atualize para uma versão posterior ao commit bbed8d28354e9c644c5a7df13946a3a0451f9ab9.