概要
mcp-memory-service に おける CORS(Cross-Origin Resource Sharing)設定 不備 の 脆弱性 です。API の CORS ポリシー が 適切 に 制限 されて いない ため、悪意 の ある Web サイト から 全 保存 メモリ データ の 読取、変更、削除 が 可能 と なる 問題 が 存在 します。
CWE-942(Permissive Cross-domain Policy with Untrusted Domains)に 分類 される この 問題 に より、攻撃者 は ユーザー が 悪意 の ある Web ページ を 訪問 した 際 に、MCP メモリ サービス に 保存 された 全 データ に 対して 不正 な 操作 を 実行 する こと が 可能 です。機密 情報 の 漏洩 および データ の 破壊 に つながる おそれ が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.1 (High) |
| CWE | CWE-942(信頼されないドメインに対する過剰なCORSポリシー) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 必要 |
影響を受けるソフトウェア
- mcp-memory-service(10.25.1 未満)
修正バージョンと回避策
- 修正バージョン: 10.25.1 以降 へ アップデート してください
- 暫定回避策: mcp-memory-service を ローカルホスト の み で リッスン する よう 設定 する。リバースプロキシ で Access-Control-Allow-Origin を 適切 に 制限 する
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。