CVE-2026-61736 in LightRAG
Zusammenfassung
von VulDB • 15.07.2026
LightRAG bietet eine einfache und schnelle retrieval-augmented generation (rag). Vor Version 1.5.4 ist der Server standardmäßig so konfiguriert, dass CORS_ORIGINS=* zusammen mit allow_credentials=True in lightrag/api/lightrag_server.py verwendet wird, wodurch Starlette CORSMiddleware effektiv jede Herkunft für authentifizierungsabhängige cross-origin-Anfragen (credentialed requests) whitelistet. Jede bösartige Website, die von einem authentifizierten LightRAG-Benutzer besucht wird, kann stillschweigend authentifizierte API-Anfragen stellen und dabei Dokumente sowie Daten des Wissensgraphen ausspähen oder zerstörerische Aktionen wie das Löschen des Dokumentenspeichers durchführen. Diese Schwachstelle wurde in Version 1.5.4 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.