Apa yang terjadi
mcp-pinot versi 3.0.1 dan lebih lama secara default menjalankan server MCP HTTP yang terikat ke 0.0.0.0:8080 tanpa autentikasi. Semua alat MCP — termasuk eksekusi kueri SQL terhadap Apache Pinot, pembuatan skema, dan administrasi tabel — terbuka tanpa kontrol akses apa pun kepada klien yang dapat dijangkau jaringan apa pun. Masalah ini dipublikasikan ke NVD pada 18 Juni 2026 dengan skor CVSS 10.0 (Kritis). Perbaikan telah dikomitkan ke repositori.
Mengapa penting
Server MCP adalah lapisan eksekusi alat untuk agen AI. Server MCP yang tidak terauthentikasi dan terbuka di internet memungkinkan penyerang apa pun untuk langsung menginvokasi alat agen — dalam hal ini kueri SQL arbitrer terhadap Apache Pinot, manipulasi skema, dan exfiltrasi data — tanpa perlu mengompromikan model AI atau orkestrasi agen apa pun. Ini adalah bypass autentikasi lengkap pada permukaan tindakan dunia nyata agen AI.
Vektor serangan
Penyerang mengirim permintaan HTTP yang tidak terauthentikasi ke port 8080 pada penerapan mcp-pinot yang dapat dijangkau jaringan apa pun, menginvokasi alat MCP termasuk kueri SQL arbitrer, pembuatan skema, dan operasi tabel terhadap kluster Apache Pinot yang terhubung.
Sistem yang terdampak
mcp-pinot ≤ 3.0.1 (Server MCP berbasis Python untuk Apache Pinot)
Mitigasi
Perbarui ke mcp-pinot > 3.0.1. Terapkan kontrol tingkat jaringan untuk membatasi akses ke port 8080. Lihat komit perbaikan: https://github.com/startreedata/mcp-pinot/commit/1c7d3f9cd384854bf72c127d230bdb32299475ad