CVE-2026-31242
KrytyczneStreszczenie
Serwer mem0 w wersji 1.0.0 nie posiada kontroli uwierzytelniania i autoryzacji dla funkcji resetowania pamięci dostępnej przez punkt końcowy DELETE /memories. Nieautoryzowany atakujący może wysłać żądanie DELETE, co prowadzi do wykonania polecenia SQL DROP TABLE, skutkując usunięciem całej tabeli bazy danych pamięci.
Ocena ryzyka
To prowadzi do katastrofalnej utraty danych oraz całkowitego zablokowania usługi dla wszystkich użytkowników. Organizacja narażona jest na poważne konsekwencje związane z utratą danych i dostępności usług.
Rekomendacja
Zaleca się wdrożenie odpowiednich mechanizmów uwierzytelniania i autoryzacji dla punktu końcowego DELETE /memories, aby zapobiec nieautoryzowanym operacjom. Należy również rozważyć regularne tworzenie kopii zapasowych danych.
Oryginalny opis (angielski, źródło NVD)
The mem0 v1.0.0 server lacks authentication and authorization controls for its memory reset functionality accessible via the DELETE /memories endpoint. An unauthenticated attacker can send a DELETE request that triggers a reset operation, leading to the execution of a DROP TABLE SQL statement. This results in the deletion of the entire memory database table, causing catastrophic data loss and a complete denial of service for all users of the service.

