何が起きたか
mcp-pinot バージョン 3.0.1 以下は、デフォルトで 0.0.0.0:8080 にバインドされた認証なしの HTTP MCP サーバーを実行します。Apache Pinot に対する SQL クエリ実行、スキーマ作成、テーブル管理を含むすべての MCP ツールが、アクセス制御なしでネットワークに到達可能なクライアントに公開されます。この問題は 2026 年 6 月 18 日に CVSS スコア 10.0 (Critical) で NVD に公開されました。修正がリポジトリにコミットされました。
なぜ重要か
MCP サーバーは AI エージェントのツール実行レイヤーです。認証なしでインターネットに公開された MCP サーバーにより、攻撃者は AI モデルやエージェント オーケストレーターを侵害する必要なく、エージェントのツール(この場合、Apache Pinot に対する任意の SQL クエリ、スキーマ操作、データ流出)を直接呼び出すことができます。これは AI エージェントの実世界のアクション表面における完全な認証バイパスです。
攻撃経路
攻撃者は、ネットワークに到達可能な mcp-pinot デプロイメント上のポート 8080 に認証なしの HTTP リクエストを送信し、接続された Apache Pinot クラスターに対する任意の SQL クエリ、スキーマ作成、テーブル操作を含む MCP ツールを呼び出します。
影響を受けるシステム
mcp-pinot ≤ 3.0.1 (Apache Pinot 用 Python ベースの MCP サーバー)
緩和策
mcp-pinot > 3.0.1 に更新してください。ネットワークレベルのコントロールを適用してポート 8080 へのアクセスを制限してください。修正コミットを参照: https://github.com/startreedata/mcp-pinot/commit/1c7d3f9cd384854bf72c127d230bdb32299475ad