Vulnerabilidad en dbt (CVE-2024-40637)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
16/07/2024
Última modificación:
19/07/2024
Descripción
dbt permite a los ingenieros y analistas de datos transformar sus datos utilizando las mismas prácticas que utilizan los ingenieros de software para crear aplicaciones. Cuando un usuario instala un paquete en dbt, tiene la capacidad de anular macros, materializaciones y otros componentes principales de dbt. Esto es por diseño, ya que permite que los paquetes extiendan y personalicen la funcionalidad de dbt. Sin embargo, esto también significa que un paquete malicioso podría anular estos componentes con código dañino. Este problema se solucionó en las versiones 1.8.0, 1.6.14 y 1.7.14. Se recomienda a los usuarios que actualicen. No existen workarounds conocidos para esta vulnerabilidad. Los usuarios que actualicen a 1.6.14 o 1.7.14 deberán configurar `flags.require_explicit_package_overrides_for_builtin_materializations: False` en su configuración en `dbt_project.yml`.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:getdbt:dbt_core:*:*:*:*:*:*:*:* | 1.6.14 (excluyendo) | |
| cpe:2.3:a:getdbt:dbt_core:*:*:*:*:*:*:*:* | 1.7.0 (incluyendo) | 1.7.14 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docs.getdbt.com/docs/build/packages
- https://docs.getdbt.com/reference/global-configs/legacy-behaviors#behavior-change-flags
- https://github.com/dbt-labs/dbt-core/commit/3c82a0296d227cb1be295356df314c11716f4ff6
- https://github.com/dbt-labs/dbt-core/commit/87ac4deb00cc9fe334706e42a365903a1d581624
- https://github.com/dbt-labs/dbt-core/security/advisories/GHSA-p3f3-5ccg-83xq
- https://tempered.works/posts/2024/07/06/preventing-data-theft-with-gcp-service-controls
- https://www.elementary-data.com/post/are-dbt-packages-secure-the-answer-lies-in-your-dwh-policies
- https://www.equalexperts.com/blog/tech-focus/are-you-at-risk-from-this-critical-dbt-vulnerability