Katalog CVE

CVE-2026-49291

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 18 — wyżej niż 18% wszystkich znanych CVE

Streszczenie

Usługa mcp-memory-service, będąca warstwą pamięci semantycznej dla aplikacji AI, przed wersją 10.65.3 wymagała jedynie zakresu `read` OAuth dla wszystkich żądań. To pozwalało na wywoływanie narzędzi mutujących, takich jak `store_memory` i `delete_memory`, przez klientów OAuth z ograniczonym dostępem.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowane modyfikacje pamięci semantycznej, co może prowadzić do utraty integralności danych i nieprawidłowego działania aplikacji AI.

Rekomendacja

Zaleca się aktualizację do wersji 10.65.3, aby zabezpieczyć punkt końcowy MCP przed nieautoryzowanym dostępem do narzędzi mutujących.

Oryginalny opis (angielski, źródło NVD)

mcp-memory-service is a semantic memory layer for AI applications. Prior to version 10.65.3, the HTTP MCP JSON-RPC endpoint at `/mcp` requires only OAuth `read` scope for all requests, then dispatches `tools/call` directly to handlers that include mutating tools. A read-only OAuth client can call `store_memory` and `delete_memory` through MCP even though the corresponding REST endpoints require `write` scope. Version 10.65.3 patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS