CVE-2026-44970 in dbt-mcp
الملخص
بحسب VulDB • 16/07/2026
dbt-mcp هو خادم لبروتوكول سياق النموذج (Model Context Protocol) للتفاعل مع dbt. قبل الإصدار 1.17.1، كانت الدالة `DefaultUsageTracker.emit_tool_called_event()` في الملف `src/dbt_mcp/tracking/tracking.py` تُسجّل كل قاموس الحجج الكامل لاستدعاء أداة MCP وترسله عبر `dbtlabs_vortex.producer.log_proto` دون حذف أي معلومات حساسة (redaction)، بما في ذلك `sql_query` من أمر show، و`vars` من أوامر run وbuild وtest، بالإضافة إلى `node_selection` من compile. وكان خيار `usage_tracking_enabled` الموجود في ملف `settings.py` يفعّل إرسال البيانات الإحصائية (telemetry) افتراضياً ما لم يتم تعيين المتغير البيئي `DBT_SEND_ANONYMOUS_USAGE_STATS=false` أو `DO_NOT_TRACK=1`. تم إصلاح هذه المشكلة في الإصدار 1.17.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.