【高】CVE-2026-49948 Mem0の認証欠落による権限昇格脆弱性がLLM Proxyに影響 – AI Security運用者必携対応策

結論

• 危険度: High (CVSS 8.1)
• 対象: (詳細はベンダーアドバイザリ参照)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-06-09 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	2分
STEP 3	自分の環境が対象か確認する	5分〜環境による
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-49948はMem0の自己ホスティングサーバーで、認証済みユーザーが管理者権限なしにLLMプロバイダー設定を変更できます。攻撃者はAPIキーを持つだけで、全トラフィックを悪意あるサーバーへリダイレクト可能です。LLMゲートウェイ運用者にとって最優先対応の脆弱性です。

やさしく説明すると

この脆弱性は、鍵付きのドアに鍵がかかっているはずなのに、実は合鍵を持った人が自由に入れてしまう状態です。認証は通っていても、その人が本当に部屋を変えられる権限を持っているか確認していません。結果として、攻撃者はAIの心臓部とも言えるLLM接続の設定を勝手に書き換えられます。

技術的な原因

本脆弱性はCWE-862「認可の欠如（Missing Authorization）」に該当します。Mem0のPOST /configureエンドポイントはJWTやX-API-Keyで認証（Authentication）を確認しますが、呼び出し元の役割（ロール）を検証しません。つまり、認証はあるが権限チェックが不足しています。このため、認証されたユーザーが管理者でない場合でも管理系設定を変更できます。

影響を受けると何が困るか

• 攻撃者がすべてのLLMプロバイダーと埋め込み（Embedder）設定を乗っ取る
• PostgreSQLデータベースに悪意のある設定を永続保存し、サーバー再起動後も影響が継続
• すべてのユーザーとAPIキーが影響を受け、テナント間情報漏洩やAPIキーの流用が起こる
• モデルや関連RAG（ Retrieval-Augmented Generation）データの改ざんリスク
• LLMゲートウェイを介するAIアプリ全体の信頼性・安全性が崩壊し、プロンプトインジェクションや悪意あるエージェント操作にもつながる
• CursorやCline、CopilotなどのAI駆動開発ツールでの悪影響（環境依存だがローカル環境の脆弱性誘発など）

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディスト利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 高

判断根拠

• CVSS v3.1スコアは8.1で、攻撃元がネットワーク、攻撃複雑度は低く、認証権限は低い。実務的には「攻撃者が比較的簡単に管理設定を乗っ取れる」ため高リスク。
• EPSSスコアは提供されていません。つまり直近の悪用予測データはありません。
• ランサムウェア悪用の報告はないため現時点で深刻な即時攻撃は観測されていません。
• 公開PoCコードや具体的攻撃レポートはGitHub上にありません。
• 悪用に必要な条件は「認証済みのAPIキー保有者」。ただしJWTやX-API-Keyだけを認証に使っているため、比較的多くのユーザーが該当する可能性があります。

誰が動くべきか

• LLM Gateway 運用チーム（Mem0利用者）
• Agentフレームワーク開発・保守者（自身でself-hosted Mem0を使う場合）
• RAGパイプライン保守者（Mem0をLLMプロバイダーとして利用している場合）
• バイブコーダー開発者および利用者（特にMem0経由でAI駆動開発をしている場合）

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
Mem0	～0.2.8	コミット ae7f406以降のバージョン（詳細はベンダーアドバイザリ参照）

バージョン確認コマンド

Python（pip）

pip show mem0

出力例:

Name: mem0
Version: 0.2.8
Summary: Self-hosted LLM gateway

判定: バージョンが 0.2.8以下 なら脆弱、0.2.8より新しいなら修正済み

Docker

docker images | grep mem0

出力例:

mem0       0.2.8            sha256:xxxxxxxxxx   2 weeks ago

判定: タグやダイジェストからバージョンを判別し、0.2.8以下なら脆弱。詳細はベンダー参照

設定確認

この脆弱性は認証はしているが権限判定が無いため、設定依存ではありません。
よって、バージョンが対象内なら脆弱です。

Nucleiテンプレートでの検出

公開Nucleiテンプレートは存在しません。バージョン確認を必ず行ってください。

STEP 4: 修正を適用する

パッチ適用

Python（pipアップグレード）

pip install --upgrade mem0

判定: バージョンが更新されていることを確認する。ae7f406以降のコミットが含まれている必要あり

Dockerイメージ更新

docker pull mem0:latest
docker stop mem0_container
docker rm mem0_container
docker run -d --name mem0_container mem0:latest

判定: 最新イメージに更新し、稼働中コンテナが新バージョンで起動すること

注意: アップグレード前に設定ファイルやDBのバックアップを必ず取得してください。ステージング環境での動作確認も推奨します。サーバーメンテナンス計画を立ててダウンタイムを最小限に抑えましょう。

パッチ即時適用ができない場合の暫定対応

現時点で公式の暫定対応は提示されていません。

暫定的には、Mem0サーバーの管理APIへのアクセスを強く制限し、信頼できるユーザーのみにAPIキーを配布してください。

また、ネットワークレベルで該当エンドポイントへのアクセス制御を検討してください。

STEP 5: 修正されたことを確認する

STEP 3 で実行したバージョン確認コマンドをもう一度実行してください。

期待される出力

Python（pip）

pip show mem0

出力例:

Name: mem0
Version: 0.2.9
Summary: Self-hosted LLM gateway

判定: バージョンが 0.2.9以上 ならOK

Docker

docker images | grep mem0

出力例:

mem0       0.2.9            sha256:yyyyyyyyyy   1 day ago

判定: タグやダイジェストで 0.2.9以上 を確認

追加で確認すべきこと

Nucleiテンプレートがないため、再スキャンは提供されていません。代わりにサーバーログやアクセスログを監視し、不審なPOST /configureアクセスがないか確認してください。

補足: 悪用観測状況

現時点でCISA KEVカタログに本CVEは未登録です。このためランサムウェアグループや他の攻撃者による悪用の報告や観測はありません。GitHub上にもPoCは存在していません。とはいえ、CVSSは高く認証権限の低さもあり、攻撃が出てくる可能性は否定できません。

補足: CVSSメトリクス詳細

• AV（攻撃元）: NETWORK（ネットワーク経由で攻撃可能）
• AC（攻撃複雑度）: LOW（特別な条件なしで攻撃可能）
• PR（必要権限）: LOW（限定的なユーザー権限があればよい）
• UI（ユーザ操作）: NONE（標準操作なしで攻撃可能）
• S（スコープ）: UNCHANGED（攻撃範囲は同じまま）
• C（機密性影響）: HIGH（情報漏洩のリスクが非常に高い）
• I（完全性影響）: HIGH（設定改ざんなどの重大な影響）
• A（可用性影響）: NONE（システムダウンの影響なし）

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で自環境のバージョン確認を行い、脆弱な場合はSTEP 4のアップグレードを速やかに実施してください。具体的なコマンドは記事内に記載しています。

Q. パッチが適用できない場合、どうすればよいですか？

A. 公式の暫定対応はありませんが、APIアクセスの制限やネットワークファイアウォールで管理エンドポイントへのアクセスを制限してください。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. サーバーログでPOST /configureエンドポイントへの不審なアクセスや不自然な設定変更の履歴を監視してください。攻撃の指標（IOC）は公式からはまだ公開されていません。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは技術的な深刻度評価ですが、EPSSは「実際に悪用される可能性の確率」を示します。両者を併せて見ることで対応の優先度がより正確に判断できます。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-862「認可の欠如」はよくある脆弱性タイプで、多くのAPI管理系ツールやフレームワークで類似の問題が報告されています。定期的な権限設計と検証が不可欠です。

参考文献

• NVD – CVE-2026-49948
• Mem0 GitHub コミット aed7f406 の修正
• Mem0 GitHub Issue 5127
• Mem0 GitHub Issue 5384
• Mem0 GitHub Pull Request 5360
• VulnCheck Advisory – Mem0 Missing Authorization

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• High脆弱性 に関するCVE・脆弱性記事一覧
• authz-missing に関するCVE・脆弱性記事一覧
• API セキュリティ に関するCVE・脆弱性記事一覧
• LLM に関するCVE・脆弱性記事一覧

2026-06-10 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 0日）。

項目	公開時点	2026-06-10時点	変化の意味
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行

新規GHSAアドバイザリの発行

本日、本脆弱性CVE-2026-49948に関して新たにGitHub Security Advisory（GHSA）が1件発行されました。これにより脆弱性の認知度が大きく高まり、一般開発者コミュニティおよびOSSエコシステム全体への注意喚起も広がったことを意味します。GHSAとして公表されたことで、「npm」「PyPI」等パッケージ管理システム側やGitHub自動アラート機能と連携するため、各開発チーム・運用者への自動通知も行われるようになります。

本件のように高リスクの認可欠如（Missing Authorization）脆弱性については、GHSAの追加によって利用者の早期検知と即時の修正適用が推奨されます。未修正のプロジェクトやForkがあれば速やかにGHSAの詳細アドバイザリ内容を確認し、アップデートや設定強化、アクセス権限の再点検を実施してください。また、今後のパッケージアップデート時には「GHSAに基づく自動Fail」などCI/CD環境での新たな検知・阻止フローも有効化される可能性があります。

2026-06-17 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-17時点	変化の意味
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行

新たなGitHub Security Advisoryが発行

今回、公開時点では未発行だったGitHub Security Advisory（GHSA）が、新たに1件発行されていることが確認されました。GHSAは、ソフトウェア開発者やユーザーが利用するGitHub上で管理される公式なセキュリティアドバイザリです。この発行により、より多くの開発者や利用者がCVE-2026-49948のリスクを認識しやすくなり、修正パッチの追跡や対応方針の明確化が進むことが期待されます。

GHSAの公開によって、脆弱性管理ツールや自動依存関係スキャナによる検出が強化されるとともに、パッケージ管理システムでのアラート発報も容易になります。運用チームはGHSA情報を確認し、該当するワークフローの見直し、パッチ適用や権限運用の追加点検を行ってください。特にCI/CD環境への影響や、依存パッケージの更新監視などの自動化対策を強化することを推奨します。