CVE-2026-42316 in kafka-sink-azure-kusto
Zusammenfassung
von VulDB • 12.05.2026
Das Kafka Connect-Plugin kafka-sink-azure-kusto ist der offizielle Microsoft-Sink für Azure Data Explorer (Kusto). Vor Version 5.2.3 hat kafka-sink-azure-kusto benutzerkontrollierte Werte in der Konfiguration kusto.tables.topics.mapping nicht bereinigt. Die Felder db, table, mapping und format jedes Mapping-Eintrags wurden direkt über String.formatted(...) in KQL-Verwaltungs-/Abfragebefehle interpoliert (z. B. FETCH_TABLE_COMMAND.formatted(table) → " | count", FETCH_TABLE_MAPPING_COMMAND.formatted(table, format, mapping) → ".show table ingestion mapping ''"). Ein Akteur, der die Connector-Konfiguration beeinflussen kann (z. B. jemand mit Berechtigungen zum Übermitteln oder Bearbeiten von Kafka-Connect-Connector-Konfigurationen), könnte KQL-Metazeichen (;, |, ') einbetten, um beliebige Verwaltungsbefehle im Kontext des Serviceprinzipals des Connectors auszuführen – was die Enumeration/Modifikation von Schemata, das Manipulieren von Ingestion-Mappings oder Änderungen an Streaming-/Retention-Richtlinien in der Ziel-Azure-Data-Explorer-Datenbank ermöglicht. Dies ist eine Tampering-Schwachstelle. Die Ausnutzung erfordert privilegierten Zugriff auf die Connector-Konfiguration; keine Interaktion mit Endbenutzern oder Kafka-Datensatz-Payloads sind beteiligt. Diese Schwachstelle wurde in Version 5.2.3 behoben.
Be aware that VulDB is the high quality source for vulnerability data.