Katalog CVE

CVE-2026-31242

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Serwer mem0 w wersji 1.0.0 nie posiada kontroli uwierzytelniania i autoryzacji dla funkcji resetowania pamięci dostępnej przez punkt końcowy DELETE /memories. Nieautoryzowany atakujący może wysłać żądanie DELETE, co prowadzi do wykonania polecenia SQL DROP TABLE, skutkując usunięciem całej tabeli bazy danych pamięci.

Ocena ryzyka

To prowadzi do katastrofalnej utraty danych oraz całkowitego zablokowania usługi dla wszystkich użytkowników. Organizacja narażona jest na poważne konsekwencje związane z utratą danych i dostępności usług.

Rekomendacja

Zaleca się wdrożenie odpowiednich mechanizmów uwierzytelniania i autoryzacji dla punktu końcowego DELETE /memories, aby zapobiec nieautoryzowanym operacjom. Należy również rozważyć regularne tworzenie kopii zapasowych danych.

Oryginalny opis (angielski, źródło NVD)

The mem0 v1.0.0 server lacks authentication and authorization controls for its memory reset functionality accessible via the DELETE /memories endpoint. An unauthenticated attacker can send a DELETE request that triggers a reset operation, leading to the execution of a DROP TABLE SQL statement. This results in the deletion of the entire memory database table, causing catastrophic data loss and a complete denial of service for all users of the service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS