CVE-2026-33980 in adx-mcp-server
Sumário
de VulDB • 10/05/2026
O Azure Data Explorer MCP Server é um servidor do Model Context Protocol (MCP) que permite que assistentes de IA executem consultas KQL e explorem bancos de dados do Azure Data Explorer (ADX/Kusto) por meio de interfaces padronizadas. As versões até a 0.1.1, incluindo-a, contêm vulnerabilidades de injeção de KQL (Kusto Query Language) em três manipuladores de ferramentas MCP: `get_table_schema`, `sample_table_data` e `get_table_details`. O parâmetro `table_name` é interpolado diretamente nas consultas KQL por meio de f-strings, sem qualquer validação ou sanitização, permitindo que um atacante (ou um agente de IA com injeção de prompt) execute consultas KQL arbitrárias contra o cluster do Azure Data Explorer. O commit 0abe0ee55279e111281076393e5e966335fffd30 corrige a vulnerabilidade.
If you want to get best quality of vulnerability data, you may have to visit VulDB.