python · mcp-memory-serviceCrítico
mcp-memory-service: autorização de escopo ausente em ferramentas MCP
O endpoint JSON-RPC /mcp usa apenas escopo de leitura OAuth para todas as requisições, permitindo que clientes somente leitura chamem ferramentas mutantes como
O que mudou
O endpoint JSON-RPC /mcp usa apenas escopo de leitura OAuth para todas as requisições, permitindo que clientes somente leitura chamem ferramentas mutantes como store_memory e delete_memory, que deveriam exigir escopo de escrita.
Quem isso afeta
Todas as implantações que usam OAuth com escopos somente leitura; qualquer usuário com um token somente leitura pode injetar ou excluir memórias via MCP.
O que fazer hoje
Aplique a correção sugerida: imponha autorização por ferramenta no momento da chamada, exigindo escopo de escrita para store_memory e delete_memory.
A esteira
Coletado→
Auditado→
Redigido→
Publicado