CVE-2026-33980 in adx-mcp-serverthông tin

Tóm tắt

Bởi VulDB • 09/06/2026

Azure Data Explorer MCP Server là một máy chủ Model Context Protocol (MCP) cho phép các trợ lý AI thực thi truy vấn KQL và khám phá cơ sở dữ liệu Azure Data Explorer (ADX/Kusto) thông qua các giao diện chuẩn hóa. Các phiên bản từ 0.1.1 trở về trước đều chứa lỗ hổng tiêm nhiễm KQL (Kusto Query Language) trong ba trình xử lý công cụ MCP: `get_table_schema`, `sample_table_data` và `get_table_details`. Tham số `table_name` được nội suy trực tiếp vào các truy vấn KQL thông qua f-strings mà không có bất kỳ xác thực hoặc làm sạch nào, cho phép kẻ tấn công (hoặc một tác nhân AI bị tiêm nhiễm lời nhắc) thực thi các truy vấn KQL tùy ý trên cụm Azure Data Explorer. Commit 0abe0ee55279e111281076393e5e966335fffd30 đã vá lỗ hổng này.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

24/03/2026

Tiết lộ

28/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00396

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!