事件经过
mcp-pinot版本3.0.1及以下默认运行绑定到0.0.0.0:8080的HTTP MCP服务器,没有身份验证。所有MCP工具——包括针对Apache Pinot的SQL查询执行、模式创建和表管理——都暴露给任何网络可达客户端,没有任何访问控制。该问题于2026年6月18日发布到NVD,CVSS评分为10.0(严重)。修复已提交到存储库。
影响分析
MCP服务器是AI代理的工具执行层。未认证的、互联网暴露的MCP服务器允许任何攻击者直接调用代理的工具——在这种情况下,对Apache Pinot的任意SQL查询、模式操作和数据泄露——而无需妥协任何AI模型或代理编排器。这是AI代理现实世界动作表面上的完全身份验证绕过。
攻击途径
攻击者向任何网络可达的mcp-pinot部署上的端口8080发送未认证的HTTP请求,调用MCP工具包括任意SQL查询、模式创建和针对连接的Apache Pinot集群的表操作。
受影响系统
mcp-pinot ≤ 3.0.1(Apache Pinot的基于Python的MCP服务器)
缓解措施
更新到mcp-pinot > 3.0.1。应用网络级控制以限制对端口8080的访问。参见修复提交:https://github.com/startreedata/mcp-pinot/commit/1c7d3f9cd384854bf72c127d230bdb32299475ad