CVE-2026-49948

Nome do Software Vulnerável e Versões Afetadas Mem0 versões anteriores a 0.2.8

Descrição O componente de servidor auto-hospedado contém uma falha de autorização ausente. O endpoint 'POST /configure' permite a modificação das configurações globais do provedor de LLM e do embedder. Embora o sistema verifique a autenticação via JWT ou X-API-Key, ele não valida a função (role) do chamador. Consequentemente, qualquer usuário autenticado com uma chave de API distribuída pode redirecionar todo o tráfego de LLM e embedder para um servidor controlado por um invasor. Esta configuração maliciosa é persistida no PostgreSQL e permanece ativa após reinicializações do servidor, afetando todos os usuários e chaves de API na instância.

Recomendações Atualize para a versão que contém o commit ae7f406. Como medida paliativa temporária, restrinja o acesso ao endpoint 'POST /configure' para minimizar o risco de exploração.