CVE-2026-39382

Name of the Vulnerable Software and Affected Versions dbt (affected versions not specified)

Description dbt permite que analistas e engenheiros de dados transformem seus dados usando práticas de engenharia de software. Uma falha de injeção de comando existe no fluxo de trabalho localizado em dbt-labs/actions/blob/main/.github/workflows/open-issue-in-repo.yml. A saída da ação peter-evans/find-comment, especificamente steps.issue comment.outputs.comment-body, é inserida diretamente em uma instrução bash sem a devida proteção. Isso permite que um corpo de comentário malicioso injete comandos shell arbitrários.

Recommendations Atualize para uma versão posterior ao commit bbed8d28354e9c644c5a7df13946a3a0451f9ab9.