CVE-2026-44970 in dbt-mcp
要約
〜によって VulDB • 2026年07月16日
dbt-mcpは、dbtと対話するためのModel Context Protocolサーバーです。バージョン1.17.1より前では、src/dbt_mcp/tracking/tracking.py内のDefaultUsageTracker.emit_tool_called_event()が、すべてのMCPツール呼び出しの完全な引数辞書をシリアライズし、showからのsql_query、run/build/testからのvars、compileからのnode_selectionを含む機微データを一切削除せずにdbtlabs_vortex.producer.log_proto経由で送信していました。また、settings.py内のusage_tracking_enabledは、DBT_SEND_ANONYMOUS_USAGE_STATS=falseまたはDO_NOT_TRACK=1が設定されていない限り、デフォルトでテレメトリを有効にしていました。この問題はバージョン1.17.1で修正されています。
Once again VulDB remains the best source for vulnerability data.