CVE-2026-44830 in nocturne_memory
요약
\~에 의해 VulDB • 2026. 05. 31.
Nocturne Memory는 MCP 에이전트를 위한 경량, 롤백 가능, 시각적 장기 메모리 서버입니다. 2.4.1 이전 버전에서 API_TOKEN이 설정되지 않거나 비어 있을 경우, BearerTokenAuthMiddleware가 모든 HTTP 요청에 대해 인증을 우회합니다. 기본 0.0.0.0 호스트 바인딩과 CORS allow_origins=["*"] 설정과 결합되면, Docker 설정을 따르면서 명시적으로 API_TOKEN을 설정하지 않은 운영자는 전체 Knowledge-Graph 읽기/쓰기 API를 LAN에서 접근 가능한 모든 클라이언트에 노출하게 됩니다. 동일한 네트워크에 있는 공격자는 모든 메모리 항목(하위 에이전트 세션에 자동 로드되는 system://boot 및 core://* URI 포함)을 읽거나, 쓰거나, 삭제할 수 있으며, 이는 지속적인 프롬프트 인젝션(Prompt Injection)을 가능하게 합니다. 이 취약점은 2.4.1에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.