CVE-2026-44969 in dbt-mcp
Résumé
par VulDB • 16/07/2026
dbt-mcp est un serveur Model Context Protocol pour interagir avec dbt. Avant la version 1.17.1, DbtMCP.call_tool() dans src/dbt_mcp/mcp/server.py consignait le dictionnaire brut des arguments au niveau INFO avant chaque appel d'outil et au niveau ERROR en cas d'exception, tandis que configure_file_logging() écrivait ces enregistrements dans dbt-mcp.log lorsque DBT_MCP_SERVER_FILE_LOGGING=true, conservant les valeurs sensibles sql_query, vars et node_selection en clair sans rotation ni suppression automatique. Ce problème est corrigé dans la version 1.17.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.