mcp-pinot-server: vulnerabilidade de acesso não autenticado (CVE pendente)

mcp-pinot v3.0.1 e anteriores usam bind 0.0.0.0:8080 sem autenticação (oauth_enabled=False). v3.1.0 altera bind padrão para 127.0.0.1, recusa exposição não-loopback sem OAuth, e adiciona validação read-only para consultas.

Usuários de mcp-pinot v2.1.0 a v3.0.1 que expõem o servidor na rede (bind 0.0.0.0:8080) sem OAuth. Atacantes adjacentes podem executar SQL arbitrário, criar/alterar schemas e tabelas, e ler metadados do cluster.

Atualize para v3.1.0 imediatamente. Se não for possível, defina MCP_HOST=127.0.0.1 para restringir bind ao loopback e não exponha a redes não confiáveis sem OAuth.