Krytyczna luka w mcp-pinot umożliwiająca pełny dostęp do klastra Apache Pinot

Luka w mcp-pinot pozwala na nieautoryzowany dostęp do klastra Apache Pinot. Aktualizuj do wersji 3.1.0, aby zabezpieczyć system.
CVE-2026-49257CVSS 10.0Web

Krytyczna luka w mcp-pinot umożliwiająca pełny dostęp do klastra Apache Pinot

Luka w mcp-pinot pozwala na nieautoryzowany dostęp do klastra Apache Pinot. Aktualizuj do wersji 3.1.0, aby zabezpieczyć system.

CVSS
10.0 CRITICAL
EPSS
39.02%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W wersjach mcp-pinot 3.0.1 i starszych serwer MCP działał bez uwierzytelniania na porcie 8080, co pozwalało każdemu w sieci na wykonywanie zapytań SQL i modyfikację konfiguracji klastra Apache Pinot. Luka ta została załatana w wersji 3.1.0.

Wpływ biznesowy

Brak uwierzytelnienia w mcp-pinot umożliwia nieautoryzowanym użytkownikom pełny odczyt i zapis danych w klastrze Apache Pinot, co może prowadzić do wycieku danych, ich modyfikacji lub zakłócenia działania usług analitycznych. Organizacje korzystające z mcp-pinot powinny pilnie zweryfikować wersje i zabezpieczenia, aby uniknąć poważnych incydentów bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się natychmiastową aktualizację mcp-pinot do wersji 3.1.0 lub nowszej, która usuwa problem braku uwierzytelnienia. W przypadku niemożności aktualizacji należy ograniczyć dostęp do portu 8080 tylko do zaufanych sieci, monitorować logi pod kątem podejrzanych aktywności oraz przeprowadzić audyt konfiguracji klastra Apache Pinot.

Źródła