CVE-2026-33980 in adx-mcp-serverinformação

Sumário

de VulDB • 10/05/2026

O Azure Data Explorer MCP Server é um servidor do Model Context Protocol (MCP) que permite que assistentes de IA executem consultas KQL e explorem bancos de dados do Azure Data Explorer (ADX/Kusto) por meio de interfaces padronizadas. As versões até a 0.1.1, incluindo-a, contêm vulnerabilidades de injeção de KQL (Kusto Query Language) em três manipuladores de ferramentas MCP: `get_table_schema`, `sample_table_data` e `get_table_details`. O parâmetro `table_name` é interpolado diretamente nas consultas KQL por meio de f-strings, sem qualquer validação ou sanitização, permitindo que um atacante (ou um agente de IA com injeção de prompt) execute consultas KQL arbitrárias contra o cluster do Azure Data Explorer. O commit 0abe0ee55279e111281076393e5e966335fffd30 corrige a vulnerabilidade.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

GitHub M

Reservar

24/03/2026

Divulgação

28/03/2026

Moderação

aceite

Entrada

VDB-354029

CPE

pronto

EPSS

0.00396

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!