CVE-2026-49291
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
Usługa mcp-memory-service, będąca warstwą pamięci semantycznej dla aplikacji AI, przed wersją 10.65.3 wymagała jedynie zakresu `read` OAuth dla wszystkich żądań. To pozwalało na wywoływanie narzędzi mutujących, takich jak `store_memory` i `delete_memory`, przez klientów OAuth z ograniczonym dostępem.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowane modyfikacje pamięci semantycznej, co może prowadzić do utraty integralności danych i nieprawidłowego działania aplikacji AI.
Rekomendacja
Zaleca się aktualizację do wersji 10.65.3, aby zabezpieczyć punkt końcowy MCP przed nieautoryzowanym dostępem do narzędzi mutujących.
Oryginalny opis (angielski, źródło NVD)
mcp-memory-service is a semantic memory layer for AI applications. Prior to version 10.65.3, the HTTP MCP JSON-RPC endpoint at `/mcp` requires only OAuth `read` scope for all requests, then dispatches `tools/call` directly to handlers that include mutating tools. A read-only OAuth client can call `store_memory` and `delete_memory` through MCP even though the corresponding REST endpoints require `write` scope. Version 10.65.3 patches the issue.

