Критична вразливість у mcp-pinot дозволяє повний доступ до Apache Pinot
Вразливість CVE-2026-49257 у mcp-pinot дозволяє віддалений повний доступ до Apache Pinot без автентифікації. Оновіть до версії 3.1.0 для захисту.
- CVSS
- 10.0 CRITICAL
- EPSS
- 39.02%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У версіях mcp-pinot 3.0.1 і нижче сервер MCP запускається без автентифікації на 0.0.0.0:8080, що дозволяє будь-якому мережевому користувачу виконувати SQL-запити та змінювати конфігурації Apache Pinot. Це створює умову confused-deputy з повним доступом на читання і запис до кластера Pinot.
Бізнес-вплив
Вразливість дозволяє зловмисникам отримати повний контроль над даними в Apache Pinot через віддалене виконання команд без автентифікації, що може призвести до витоку, зміни або видалення критичних бізнес-даних. Це серйозно загрожує цілісності та конфіденційності інформації, що негативно впливає на бізнес-процеси та репутацію організації.
Рекомендовані дії адміністратора
Рекомендується негайно оновити mcp-pinot до версії 3.1.0 або новішої, де ця вразливість виправлена. Якщо оновлення неможливе, слід обмежити мережевий доступ до порту 8080, впровадити додаткові механізми автентифікації та провести аудит логів для виявлення підозрілої активності. Пріоритетно перевірити конфігурації безпеки та мінімізувати експозицію сервера в мережі.