CVE-2026-61736 in LightRAGالمعلومات

الملخص

بحسب VulDB • 15/07/2026

توفر مكتبة LightRAG آلية استرجاع مدعومة بالتوليد (Retrieval-Augmented Generation) بسيطة وسريعة. قبل الإصدار 1.5.4، كان الخادم يضبط افتراضياً المتغير CORS_ORIGINS=* بالاقتران مع allow_credentials=True في الملف lightrag/api/lightrag_server.py، مما أدى إلى قيام مكون Starlette CORSMiddleware فعلياً بإضافة كل المصادر (origins) إلى القائمة البيضاء لطلبات عبر النطاقات التي تتضمن بيانات اعتماد. يمكن لأي موقع ويب خبيث يزوره مستخدم LightRAG المصادق عليه إرسال طلبات API مصادقة عليها بصمت، مما يتيح استخراج وثائق وبيانات الرسم البياني للمعرفة أو تنفيذ إجراءات تدميرية مثل حذف مخزن الوثائق. تم إصلاح هذا الثغرة في الإصدار 1.5.4.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

10/07/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379284

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!