CVE-2026-61736 in LightRAGinfo

Zusammenfassung

von VulDB • 15.07.2026

LightRAG bietet eine einfache und schnelle retrieval-augmented generation (rag). Vor Version 1.5.4 ist der Server standardmäßig so konfiguriert, dass CORS_ORIGINS=* zusammen mit allow_credentials=True in lightrag/api/lightrag_server.py verwendet wird, wodurch Starlette CORSMiddleware effektiv jede Herkunft für authentifizierungsabhängige cross-origin-Anfragen (credentialed requests) whitelistet. Jede bösartige Website, die von einem authentifizierten LightRAG-Benutzer besucht wird, kann stillschweigend authentifizierte API-Anfragen stellen und dabei Dokumente sowie Daten des Wissensgraphen ausspähen oder zerstörerische Aktionen wie das Löschen des Dokumentenspeichers durchführen. Diese Schwachstelle wurde in Version 1.5.4 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

10.07.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379284

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!