CVE-2026-44970 in dbt-mcp
요약
\~에 의해 VulDB • 2026. 07. 17.
dbt-mcp은 dbt와 상호 작용하기 위한 Model Context Protocol 서버입니다. 버전 1.17.1 이전에서는 `src/dbt_mcp/tracking/tracking.py`의 `DefaultUsageTracker.emit_tool_called_event()`가 모든 MCP 도구 호출의 전체 인수 사전을 적재 없이 직렬화하여 `dbtlabs_vortex.producer.log_proto`를 통해 전송했습니다. 여기에는 `show`에서 가져온 `sql_query`, `run`, `build`, `test`에서 가져온 `vars`, 그리고 `compile`에서 가져온 `node_selection`이 포함됩니다. 또한 `settings.py`의 `usage_tracking_enabled` 설정은 `DBT_SEND_ANONYMOUS_USAGE_STATS=false` 또는 `DO_NOT_TRACK=1`이 설정되지 않은 한 기본적으로 원격 측정 기능을 활성화합니다. 이 문제는 버전 1.17.1에서 해결되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.