CVE-2026-44969 in dbt-mcp
Resumen
por VulDB • 2026-07-16
dbt-mcp es un servidor del Protocolo de Contexto de Modelo (Model Context Protocol) para interactuar con dbt. Antes de la versión 1.17.1, DbtMCP.call_tool() en src/dbt_mcp/mcp/server.py registraba el diccionario de argumentos sin procesar a nivel INFO antes de cada llamada a herramienta y a nivel ERROR ante excepciones; además, configure_file_logging() escribía esos registros en dbt-mcp.log cuando DBT_MCP_SERVER_FILE_LOGGING=true, conservando los valores sensibles sql_query, vars y node_selection en texto plano sin rotación ni eliminación automáticas. Este problema se corrige en la versión 1.17.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.