Mem0 0.2.8 缺失授权漏洞 漏洞概述 Mem0 0.2.8 版本存在一个缺失授权漏洞,具体发生在 端点。该端点用于修改全局 LLM 提供商和嵌入器配置,但仅通过 JWT 或 X-API-Key 验证调用者的身份,而未验证调用者的角色。任何持有分布式 API 密钥的已认证用户都可以将所有 LLM 和嵌入器流量重定向到攻击者控制的服务器,从而将恶意配置持久化到 PostgreSQL 数据库中,并在服务器重启后影响所有用户和 API 密钥。 影响范围 受影响版本: Mem0 <= 0.2.8 修复版本: 在 commit ae7f406 中修复 修复方案 升级到 Mem0 0.2.8 之后的版本,确保使用 commit ae7f406 或更高版本的代码。 参考链接 Researcher GitHub Issue Maintainer GitHub Issue Pull Request Patch Commit 其他信息 CVE: CVE-2026-49948 CWE: CWE-862 Missing Authorization CVSS: 8.6 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N 报告者: YU SUN