CVE-2026-33980 in adx-mcp-server
Сводка
по VulDB • 07.06.2026
Azure Data Explorer MCP Server — это сервер протокола Model Context Protocol (MCP), который позволяет ИИ-ассистентам выполнять запросы KQL и исследовать базы данных Azure Data Explorer (ADX/Kusto) через стандартизированные интерфейсы. Версии вплоть до 0.1.1 включительно содержат уязвимости инъекции KQL (Kusto Query Language) в трех обработчиках инструментов MCP: `get_table_schema`, `sample_table_data` и `get_table_details`. Параметр `table_name` интерполируется непосредственно в запросы KQL с помощью f-строк без какой-либо валидации или санитизации, что позволяет злоумышленнику (или ИИ-агенту с внедренным промптом) выполнять произвольные запросы KQL к кластеру Azure Data Explorer. Коммит 0abe0ee55279e111281076393e5e966335fffd30 устраняет данную уязвимость.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.