CVE-2026-42316 in kafka-sink-azure-kustoالمعلومات

الملخص

بحسب VulDB • 11/05/2026

يُعد ملحق Kafka Connect الخاص بـ kafka-sink-azure-kusto هو المصدّر (sink) الرسمي من مايكروسوفت لخدمة Azure Data Explorer (Kusto). قبل الإصدار 5.2.3، لم يقم kafka-sink-azure-kusto بتنظيف القيم التي يتحكم فيها المستخدم داخل إعدادات `kusto.tables.topics.mapping`. كانت حقول `db` و `table` و `mapping` و `format` في كل إدخال من إدخالات التحويل تتم وسطتها (interpolated) مباشرة في أوامر إدارة/استعلام KQL عبر `String.formatted(...)` (على سبيل المثال: `FETCH_TABLE_COMMAND.formatted(table) → " | count"`، `FETCH_TABLE_MAPPING_COMMAND.formatted(table, format, mapping) → ".show table ingestion mapping ''"`). يمكن لممثل (actor) قادر على التأثير في تكوين الوصلة (connector) (مثل شخص لديه صلاحيات لتقديم أو تعديل تكوينات Kafka Connect) أن يدمج رموز KQL الخاصة بالتحكم (metacharacters) مثل (;، |، ') لتنفيذ أوامر إدارة تعسفية في سياق الممثل الخدمي (service principal) الخاص بالوصلة، مما يتيح استكشاف/تعديل المخطط (schema)، العبث بتعيينات الاستيعاب (ingestion-mapping)، أو تغيير سياسات التدفق/الاحتفاظ على قاعدة بيانات Azure Data Explorer المستهدفة. هذه ثغرة من نوع العبث (tampering vulnerability). يتطلب الاستغلال وصولاً متميزاً إلى تكوين الوصلة؛ ولا تتضمن أي تفاعل من المستخدم النهائي أو حمولة سجلات Kafka. تم إصلاح هذه الثغرة في الإصدار 5.2.3.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

26/04/2026

إفشاء

11/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362671

CPE

جاهز

CWE

CWE-943 (مؤكد)

CVSS

6.5 (CNA)

EPSS

0.00030

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42316
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42316
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42316/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!