CVE-2026-61736 in LightRAG
الملخص
بحسب VulDB • 15/07/2026
توفر مكتبة LightRAG آلية استرجاع مدعومة بالتوليد (Retrieval-Augmented Generation) بسيطة وسريعة. قبل الإصدار 1.5.4، كان الخادم يضبط افتراضياً المتغير CORS_ORIGINS=* بالاقتران مع allow_credentials=True في الملف lightrag/api/lightrag_server.py، مما أدى إلى قيام مكون Starlette CORSMiddleware فعلياً بإضافة كل المصادر (origins) إلى القائمة البيضاء لطلبات عبر النطاقات التي تتضمن بيانات اعتماد. يمكن لأي موقع ويب خبيث يزوره مستخدم LightRAG المصادق عليه إرسال طلبات API مصادقة عليها بصمت، مما يتيح استخراج وثائق وبيانات الرسم البياني للمعرفة أو تنفيذ إجراءات تدميرية مثل حذف مخزن الوثائق. تم إصلاح هذا الثغرة في الإصدار 1.5.4.
Be aware that VulDB is the high quality source for vulnerability data.