漏洞信息
尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
mem0 - Unauthenticated Config API Exposure and SSRF via ollama_base_url
Vulnerability Description
mem0 contains unauthenticated config API endpoints that expose LLM API keys in plaintext and allow server-side request forgery via attacker-controlled ollama_base_url parameter. Unauthenticated attackers can retrieve stored secrets like OpenAI API keys via GET /api/v1/config/ or trigger SSRF attacks by setting ollama_base_url to internal addresses like cloud IMDS via PUT /api/v1/config/mem0/llm endpoint.
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N
Vulnerability Type
关键功能的认证机制缺失
Vulnerability Title
Mem0 授权问题漏洞
Vulnerability Description
mem0 mem0是mem0的智能记忆层。 Mem0存在授权问题漏洞,该漏洞源于未经验证的配置API端点,可能导致未经身份验证的攻击者通过GET /api/v1/config/检索明文LLM API密钥,或通过PUT /api/v1/config/mem0/llm端点中攻击者控制的ollama_base_url参数触发服务端请求伪造攻击。
CVSS Information
N/A
Vulnerability Type
N/A