CVE-2026-49257

Nome do Software Vulnerável e Versões Afetadas mcp-pinot versões anteriores a 3.1.0

Descrição o mcp-pinot é um servidor Model Context Protocol (MCP) baseado em Python para interação com o Apache Pinot. O software, por padrão, executa um servidor MCP HTTP vinculado a 0.0.0.0:8080 sem autenticação habilitada. Isso permite que qualquer chamador adjacente à rede acesse todas as ferramentas MCP, incluindo a execução de consultas SQL, criação de esquemas e mutação de configuração de tabela. O servidor encaminha essas solicitações usando credenciais do Pinot do lado do servidor, produzindo uma condição de confused-deputy (onde uma entidade privilegiada é enganada para realizar ações em nome de um usuário não autorizado), resultando em acesso total de leitura e gravação ao cluster Pinot configurado.

Recomendações Atualize para a versão 3.1.0.