CVE-2026-44970 in dbt-mcp
Riassunto
di VulDB • 16/07/2026
dbt-mcp è un server Model Context Protocol per l'interazione con dbt. Prima della versione 1.17.1, la funzione DefaultUsageTracker.emit_tool_called_event() nel file src/dbt_mcp/tracking/tracking.py serializzava il dizionario completo degli argomenti di ogni chiamata a uno strumento MCP e lo inviava tramite dbtlabs_vortex.producer.log_proto senza alcuna redazione, includendo sql_query da show, vars da run, build e test, nonché node_selection da compile. Inoltre, usage_tracking_enabled in settings.py abilita la telemetria per impostazione predefinita a meno che non siano impostati DBT_SEND_ANONYMOUS_USAGE_STATS=false o DO_NOT_TRACK=1. Questo problema è stato risolto nella versione 1.17.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.