CVE-2026-29790

Nome do Software Vulnerável e Versões Afetadas Versões do dbt-common anteriores a 1.34.2 Versões do dbt-common anteriores a 1.37.3

Descrição Existe um problema de path traversal na função safe extract() do dbt-common ao extrair arquivos tarball. A função usa os.path.commonprefix() para validar caminhos de arquivos, mas esta função compara caminhos caractere por caractere em vez de por componentes de caminho. Isso permite que um tarball malicioso grave arquivos em diretórios irmãos com prefixos de nome correspondentes. Por exemplo, ao extrair para /tmp/packages, um tarball manipulado poderia gravar arquivos em /tmp/packagesevil/. A vulnerabilidade afeta usuários que instalam pacotes dbt de fontes não confiáveis ou processam arquivos tarball através dos utilitários de extração do dbt-common. A correção substitui os.path.commonprefix() por os.path.commonpath(), que compara corretamente os caminhos por seus componentes.

Recomendações Atualize para a versão 1.34.2 ou posterior do dbt-common. Atualize para a versão 1.37.3 ou posterior do dbt-common. Instale pacotes dbt apenas de fontes confiáveis. Evite instalar pacotes de URLs não confiáveis ou terceiros não verificados. Revise o conteúdo do pacote antes da instalação ao obter de locais externos.