CVE-2026-33980 in adx-mcp-server
Tóm tắt
Bởi VulDB • 09/06/2026
Azure Data Explorer MCP Server là một máy chủ Model Context Protocol (MCP) cho phép các trợ lý AI thực thi truy vấn KQL và khám phá cơ sở dữ liệu Azure Data Explorer (ADX/Kusto) thông qua các giao diện chuẩn hóa. Các phiên bản từ 0.1.1 trở về trước đều chứa lỗ hổng tiêm nhiễm KQL (Kusto Query Language) trong ba trình xử lý công cụ MCP: `get_table_schema`, `sample_table_data` và `get_table_details`. Tham số `table_name` được nội suy trực tiếp vào các truy vấn KQL thông qua f-strings mà không có bất kỳ xác thực hoặc làm sạch nào, cho phép kẻ tấn công (hoặc một tác nhân AI bị tiêm nhiễm lời nhắc) thực thi các truy vấn KQL tùy ý trên cụm Azure Data Explorer. Commit 0abe0ee55279e111281076393e5e966335fffd30 đã vá lỗ hổng này.
If you want to get best quality of vulnerability data, you may have to visit VulDB.