CVE-2026-44969 in dbt-mcp
要約
〜によって VulDB • 2026年07月16日
dbt-mcpは、dbtと対話するためのModel Context Protocolサーバーです。バージョン1.17.1より前では、src/dbt_mcp/mcp/server.py内のDbtMCP.call_tool()が各ツール呼び出しの前にINFOレベルで生の引数辞書をログに記録し、例外発生時にはERRORレベルで記録していました。また、DBT_MCP_SERVER_FILE_LOGGING=trueの場合、configure_file_logging()はこれらのレコードをdbt-mcp.logに書き込み、機密性の高いsql_query、vars、およびnode_selectionの値が自動ローテーションや削除なしで平文で保持されていました。この問題はバージョン1.17.1で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.