Критична вразливість у mcp-pinot дозволяє повний доступ до Apache Pinot

Вразливість CVE-2026-49257 у mcp-pinot дозволяє віддалений повний доступ до Apache Pinot без автентифікації. Оновіть до версії 3.1.0 для захисту.
CVE-2026-49257CVSS 10.0Web

Критична вразливість у mcp-pinot дозволяє повний доступ до Apache Pinot

Вразливість CVE-2026-49257 у mcp-pinot дозволяє віддалений повний доступ до Apache Pinot без автентифікації. Оновіть до версії 3.1.0 для захисту.

CVSS
10.0 CRITICAL
EPSS
39.02%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У версіях mcp-pinot 3.0.1 і нижче сервер MCP запускається без автентифікації на 0.0.0.0:8080, що дозволяє будь-якому мережевому користувачу виконувати SQL-запити та змінювати конфігурації Apache Pinot. Це створює умову confused-deputy з повним доступом на читання і запис до кластера Pinot.

Бізнес-вплив

Вразливість дозволяє зловмисникам отримати повний контроль над даними в Apache Pinot через віддалене виконання команд без автентифікації, що може призвести до витоку, зміни або видалення критичних бізнес-даних. Це серйозно загрожує цілісності та конфіденційності інформації, що негативно впливає на бізнес-процеси та репутацію організації.

Рекомендовані дії адміністратора

Рекомендується негайно оновити mcp-pinot до версії 3.1.0 або новішої, де ця вразливість виправлена. Якщо оновлення неможливе, слід обмежити мережевий доступ до порту 8080, впровадити додаткові механізми автентифікації та провести аудит логів для виявлення підозрілої активності. Пріоритетно перевірити конфігурації безпеки та мінімізувати експозицію сервера в мережі.

Джерела