CVE-2026-59705
Kritisk

CVE-2026-59705: Kritisk sårbarhed i mem0 OpenMemory API

Kritisk sikkerhedshul i mem0 giver uvedkommende fuld adgang til alle brugeres private minder uden login.

CVSS Score
9.8
Offentliggjort
07/07/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Handle inden for 24-48 timer

Hvad er det?

CVE-2026-59705 er en kritisk sårbarhed i mem0’s OpenMemory API — et system der bruges til at gemme og hente AI-hukommelse (personlige data og kontekst) for brugere. Fejlen skyldes, at visse API-endepunkter (adgangspunkter til systemet) er oprettet uden krav om login eller godkendelse. Det betyder, at hvem som helst på internettet kan tilgå dem direkte. En angriber behøver hverken brugernavn, adgangskode eller særlige tekniske færdigheder for at misbruge hullet. Fejltypen hedder CWE-306, som dækker over manglende adgangskontrol på kritiske funktioner.

Hvem rammer det?

Sårbarheden rammer virksomheder og udviklere der bruger mem0’s OpenMemory API (komponenten openmemory/api) i deres systemer eller produkter. Det kan fx være:

  • Virksomheder der har bygget AI-assistenter eller chatbots oven på mem0
  • SaaS-produkter der bruger mem0 til at gemme brugerpræferencer og historik
  • Udviklere der hosten OpenMemory API selv (self-hosted)

Hvis din virksomhed ikke bruger mem0, er du ikke direkte påvirket af denne sårbarhed.

Hvad kan ske?

En angriber der udnytter sårbarheden kan:

  • Læse private minder — se alle data gemt om en bruger, herunder personlige oplysninger og AI-samtalehistorik
  • Skrive og ændre minder — indsætte falske eller manipulerede data i andre brugeres profiler
  • Slette minder — permanent fjerne data for vilkårlige brugere
  • Lamme hele systemet (DoS) — ved at sætte parametret global_pause=true kan angriberen stoppe adgangen til hukommelsessystemet for samtlige brugere på én gang

Konsekvenserne er alvorlige: brud på privatlivets fred, tab af data, GDPR-problemer og systemnedbrud.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 9.8 ud af 10 — Kritisk. Det er den næsthøjest mulige score. Årsagerne til den høje score er:

  • Angrebet kan udføres over internettet uden fysisk adgang
  • Det kræver ingen forudgående login eller rettigheder
  • Det kræver ingen handling fra brugeren
  • Angriberen opnår fuld kontrol over fortrolighed, integritet og tilgængelighed af data

Med andre ord: hullet er nemt at udnytte og konsekvenserne er maksimale.

Hvad gør jeg nu?

Hvis din virksomhed bruger mem0’s OpenMemory API, skal du handle nu. Følg disse trin:

  1. Find ud af om du er berørt: Spørg din IT-ansvarlige eller leverandør om I bruger mem0’s openmemory/api-komponent i jeres systemer.
  2. Opdater straks: Tjek om mem0 har udgivet en patch (sikkerhedsopdatering) og installér den så hurtigt som muligt. Se projektets officielle GitHub-repository eller sikkerhedsbulletin.
  3. Begræns adgangen midlertidigt: Hvis en opdatering ikke er tilgængelig, så overvej at sætte API’et bag en firewall eller VPN, så det ikke er tilgængeligt fra det åbne internet.
  4. Gennemgå logfiler: Bed din IT-ansvarlige om at gennemgå adgangslogfiler for at se om uvedkommende allerede har tilgået systemet.
  5. Vurdér databrud: Hvis der er tegn på uautoriseret adgang, skal du vurdere om det udgør et databrud under GDPR, og om Datatilsynet skal notificeres inden for 72 timer.
  6. Kontakt os: Er du i tvivl om næste skridt, er du altid velkommen til at kontakte Auroa for vejledning.
Tidsfrist

Handle inden for 24-48 timer

Sådan ser Auroa det

Denne sårbarhed er kritisk og bør behandles som en akut hændelse. Opdatér til den nyeste version af mem0’s OpenMemory API øjeblikkeligt, og sørg for at API-endepunkter aldrig er tilgængelige fra internettet uden korrekt godkendelse. Overvej at gennemføre en hurtig gennemgang af jeres øvrige API-sikkerhed for at sikre, at lignende fejl ikke findes andre steder i jeres systemer. Auroa hjælper gerne med en vurdering.

Tidslinje

07/07/2026
CVE offentliggjort i NVD
National Vulnerability Database (NVD) offentliggør CVE-2026-59705 med en CVSS-score på 9.8 — Kritisk. Sårbarheden beskrives som uautoriseret adgang til alle brugerminder i mem0's OpenMemory API.
07/07/2026
Proof-of-concept tilgængeligt
Tekniske detaljer om sårbarheden er tilstrækkelig kendte til at angribere kan udnytte den uden særlig forudviden. API-endepunkterne er let identificerbare, hvilket gør angrebet lavpraktisk at udføre.
07/07/2026
Patch-status undersøges
Mem0-projektet er gjort bekendt med sårbarheden. Brugere opfordres til at tjekke projektets officielle kanaler og GitHub for den seneste opdatering og sikkerhedsrettelse.
08/07/2026
Kritisk periode for udnyttelse
I dagene umiddelbart efter offentliggørelsen er risikoen for aktiv udnyttelse høj, da mange systemer endnu ikke er opdaterede. Virksomheder der bruger mem0 opfordres kraftigt til at handle inden for 24-48 timer.

Konkrete eksempler

Angriber læser alle brugeres private AI-minder

En angriber finder frem til jeres offentligt tilgængelige mem0 API-adresse. Ved at sende simple HTTP-forespørgsler med tilfældige bruger-ID’er til et uautoriseret endepunkt kan angriberen hente alle gemte minder for enhver bruger — herunder samtalehistorik, personlige præferencer og potentielt følsomme oplysninger. Det kræver hverken login eller teknisk specialviden, blot et basalt kendskab til API-kald.

Konkurrent manipulerer data i jeres AI-system

En ondsindet aktør med kendskab til sårbarheden tilgår jeres OpenMemory API og skriver falske eller vildledende data ind i specifikke brugeres hukommelsesprofiler. Resultatet kan være, at jeres AI-assistent begynder at give forkerte, manipulerede svar til de berørte kunder — uden at hverken I eller kunderne ved det er sket.

Systemlammelse via global pause-kommando

En angriber sender ét enkelt API-kald med parametret global_pause=true til det ubeskyttede endepunkt. Hele mem0-hukommelsessystemet stopper øjeblikkeligt for samtlige brugere. Hvis jeres produkt eller service er afhængig af dette system, oplever alle kunder pludseligt fejl eller nedbrud — potentielt i timevis, indtil I opdager og løser problemet.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-306

Original NVD-beskrivelse (engelsk)

mem0’s openmemory/api component contains an unauthenticated access vulnerability that allows unauthenticated attackers to read, write, and delete arbitrary user memories by accessing API routers registered without authentication middleware. Attackers can supply arbitrary user_id parameters or directly access memory retrieval endpoints to expose private memory content, or invoke pause endpoints with global_pause=true to cause denial-of-service across all users.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-59705
Offentliggjort
07/07/2026
Sidst opdateret
07/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Handle inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.