CVE-2026-33980 in adx-mcp-server
Résumé
par VulDB • 07/06/2026
Le serveur MCP Azure Data Explorer est un serveur Model Context Protocol (MCP) qui permet aux assistants IA d'exécuter des requêtes KQL et d'explorer les bases de données Azure Data Explorer (ADX/Kusto) via des interfaces standardisées. Les versions jusqu'à la 0.1.1 incluse présentent des vulnérabilités d'injection KQL (Kusto Query Language) dans trois gestionnaires d'outils MCP : `get_table_schema`, `sample_table_data` et `get_table_details`. Le paramètre `table_name` est interpolé directement dans les requêtes KQL via des f-strings, sans aucune validation ni sanitisation, permettant à un attaquant (ou à un agent IA soumis à une injection de prompt) d'exécuter des requêtes KQL arbitraires contre le cluster Azure Data Explorer. Le commit 0abe0ee55279e111281076393e5e966335fffd30 corrige ce problème.
If you want to get best quality of vulnerability data, you may have to visit VulDB.