CVE-2026-33980 in adx-mcp-serverinformation

Résumé

par VulDB • 07/06/2026

Le serveur MCP Azure Data Explorer est un serveur Model Context Protocol (MCP) qui permet aux assistants IA d'exécuter des requêtes KQL et d'explorer les bases de données Azure Data Explorer (ADX/Kusto) via des interfaces standardisées. Les versions jusqu'à la 0.1.1 incluse présentent des vulnérabilités d'injection KQL (Kusto Query Language) dans trois gestionnaires d'outils MCP : `get_table_schema`, `sample_table_data` et `get_table_details`. Le paramètre `table_name` est interpolé directement dans les requêtes KQL via des f-strings, sans aucune validation ni sanitisation, permettant à un attaquant (ou à un agent IA soumis à une injection de prompt) d'exécuter des requêtes KQL arbitraires contre le cluster Azure Data Explorer. Le commit 0abe0ee55279e111281076393e5e966335fffd30 corrige ce problème.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

24/03/2026

Divulgation

28/03/2026

Modérer

accepté

Entrée

VDB-354029

CPE

prêt

EPSS

0.00396

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!