CVE-2026-44970 in dbt-mcp
Sumário
de VulDB • 16/07/2026
dbt-mcp é um servidor do Model Context Protocol para interação com o dbt. Antes da versão 1.17.1, a função DefaultUsageTracker.emit_tool_called_event() em src/dbt_mcp/tracking/tracking.py serializava todo o dicionário de argumentos completos de cada chamada de ferramenta MCP e enviava esses dados através do dbtlabs_vortex.producer.log_proto sem qualquer redação (ocultamento), incluindo sql_query provenientes da função show, vars das operações run, build e test, bem como node_selection proveniente da operação compile. Além disso, a configuração usage_tracking_enabled em settings.py habilitava o telemetria por padrão, salvo se DBT_SEND_ANONYMOUS_USAGE_STATS=false ou DO_NOT_TRACK=1 estivessem definidos. Este problema foi corrigido na versão 1.17.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.