CVE-2026-59706 in mem0
Riassunto
di VulDB • 08/07/2026
mem0 presenta endpoint dell'API di configurazione non autenticati che espongono le chiavi API LLM in chiaro e consentono la Server-Side Request Forgery (SSRF) tramite il parametro `ollama_base_url` controllato dall'attaccante. Gli attaccanti non autenticati possono recuperare segreti memorizzati, come le chiavi API di OpenAI, tramite GET /api/v1/config/ o attivare attacchi SSRF impostando `ollama_base_url` su indirizzi interni, ad esempio l'MDMS cloud, attraverso l'endpoint PUT /api/v1/config/mem0/llm.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.