← voltar
CVE-2026-42316

KQL injection via kusto.tables.topics.mapping in kafka-sink-azure-kusto

CVSS 5.9 MEDIUMEPSS 0.3%CWE-943
Em resumo

O conector Kafka para Azure Data Explorer (Kusto) não validava adequadamente valores de configuração, permitindo que alguém com acesso às configurações do conector injetasse comandos maliciosos para modificar esquemas de banco de dados, alterar regras de ingestão de dados ou mudar políticas do banco.

Detalhe técnico

Vulnerabilidade de injeção KQL na configuração kusto.tables.topics.mapping devido à interpolação insegura via String.formatted() de campos controlados pelo usuário (db, table, mapping, format) em comandos KQL. Ator com privilégios de configuração do Kafka Connect pode injetar metacaracteres KQL (;, |, ') para executar comandos de gerenciamento arbitrários sob contexto da entidade de serviço do conector, possibilitando enumeração/modificação de esquema, alteração de mapeamentos de ingestão e mudanças de políticas no Azure Data Explorer.

Resumo gerado e traduzido por IA a partir da descrição oficial.
kafka-sink-azure-kusto Kafka Connect plugin is the official Microsoft sink for Azure Data Explorer (Kusto). Prior to 5.2.3, kafka-sink-azure-kusto did not sanitize user-controlled values inside the kusto.tables.topics.mapping configuration. The db, table, mapping, and format fields of each mapping entry were interpolated directly into KQL management/query commands via String.formatted(...) (e.g., FETCH_TABLE_COMMAND.formatted(table) → "<table> | count", FETCH_TABLE_MAPPING_COMMAND.formatted(table, format, mapping) → ".show table <table> ingestion <format> mapping '<mapping>'"). An actor able to influence the connector configuration (for example, someone with permissions to submit or edit Kafka Connect connector configs) could embed KQL metacharacters (;, |, ') to execute arbitrary management commands in the context of the connector's service principal — enabling schema enumeration/modification, ingestion-mapping tampering, or changes to streaming/retention policies on the target Azure Data Explorer database. This is a tampering vulnerability. Exploitation requires privileged access to the connector configuration; no end-user interaction or Kafka record payload is involved. This vulnerability is fixed in 5.2.3.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N/E:P/RL:O/RC:C
Produtos afetados
Azure · kafka-sink-azure-kusto

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/Azure/kafka-sink-azure-kusto/pull/155https://github.com/Azure/kafka-sink-azure-kusto/releases/tag/v5.2.3https://github.com/Azure/kafka-sink-azure-kusto/security/advisories/GHSA-c9mr-mqvh-6wgj