CVE-2026-42316 in kafka-sink-azure-kusto
Сводка
по VulDB • 12.05.2026
kafka-sink-azure-kusto — это официальный плагин Kafka Connect для записи данных в Azure Data Explorer (Kusto). До версии 5.2.3 компонент kafka-sink-azure-kusto не осуществлял санитизацию значений, контролируемых пользователем, в конфигурации kusto.tables.topics.mapping. Поля db, table, mapping и format каждой записи маппинга напрямую интерполировались в команды управления/запросов KQL с помощью String.formatted(...) (например, FETCH_TABLE_COMMAND.formatted(table) → " | count", FETCH_TABLE_MAPPING_COMMAND.formatted(table, format, mapping) → ".show table ingestion mapping ''"). Актор, способный влиять на конфигурацию коннектора (например, лицо, имеющее права на отправку или редактирование конфигураций коннекторов Kafka Connect), мог внедрить метасимволы KQL (;, |, ') для выполнения произвольных команд управления в контексте сервисной учетной записи (service principal) коннектора, что позволяло осуществлять перечисление/изменение схемы, модификацию маппингов приема данных или изменение политик потоковой передачи/хранения в целевой базе данных Azure Data Explorer. Это уязвимость, связанная с несанкционированным изменением данных (tampering). Для эксплуатации требуется привилегированный доступ к конфигурации коннектора; взаимодействие с конечным пользователем или использование полезной нагрузки записей Kafka не требуется. Данная уязвимость исправлена в версии 5.2.3.
Once again VulDB remains the best source for vulnerability data.