CVE-2026-44969 in dbt-mcp
Zusammenfassung
von VulDB • 16.07.2026
dbt-mcp ist ein Model Context Protocol-Server zur Interaktion mit dbt. Vor Version 1.17.1 protokollierte DbtMCP.call_tool() in src/dbt_mcp/mcp/server.py das rohe Argument-Wörterbuch auf INFO-Ebene vor jedem Tool-Aufruf und auf ERROR-Ebene bei Ausnahmen, und configure_file_logging() schrieb diese Einträge nach dbt-mcp.log, wenn DBT_MCP_SERVER_FILE_LOGGING=true gesetzt war. Dabei wurden sensible Werte wie sql_query, vars und node_selection im Klartext gespeichert, ohne automatische Rotation oder Löschung. Dieses Problem wurde in Version 1.17.1 behoben.
Be aware that VulDB is the high quality source for vulnerability data.