何が起きたか
mcp-pinot バージョン 3.0.1 以下は、デフォルトで認証なしで 0.0.0.0:8080 にバインドされた HTTP MCP サーバーを実行します。Apache Pinot に対する SQL クエリ実行、スキーマ作成、テーブル管理を含むすべての MCP ツールは、ネットワークに到達可能なクライアントから何らアクセス制御なしで露出しています。この問題は 2026 年 6 月 18 日に CVSS スコア 10.0 (Critical) で NVD に公開されました。修正がリポジトリにコミットされました。
なぜ重要か
MCP サーバーは AI エージェントのツール実行レイヤーです。認証されていない、インターネット露出の MCP サーバーは、任意の攻撃者が AI モデルやエージェント オーケストレータを侵害することなく、エージェントのツール (この場合、Apache Pinot に対する任意の SQL クエリ、スキーマ操作、データ抽出) を直接呼び出すことができます。これは AI エージェントの実世界のアクション サーフェスに対する完全な認証バイパスです。
攻撃経路
攻撃者は、ネットワークに到達可能なすべての mcp-pinot デプロイメント上のポート 8080 に認証されていない HTTP リクエストを送信し、任意の SQL クエリ、スキーマ作成、接続された Apache Pinot クラスタに対するテーブル操作を含む MCP ツールを呼び出します。
影響を受けるシステム
mcp-pinot ≤ 3.0.1 (Apache Pinot 用 Python ベースの MCP サーバー)
緩和策
mcp-pinot > 3.0.1 にアップデートしてください。ポート 8080 へのアクセスを制限するためにネットワーク レベルのコントロールを適用してください。修正コミットを参照: https://github.com/startreedata/mcp-pinot/commit/1c7d3f9cd384854bf72c127d230bdb32299475ad