CVE-2026-61740 in LightRAGinfo

Zusammenfassung

von VulDB • 15.07.2026

LightRAG bietet eine einfache und schnelle retrieval-augmented generation (RAG). Vor Version 1.5.4 kann der Schutz durch X-API-Key umgangen werden, wenn LightRAG mit gesetztem LIGHTRAG_API_KEY, aber ungesetztem AUTH_ACCOUNTS bereitgestellt wird, da lightrag/api/auth.py auf ein fest codiertes DEFAULT_TOKEN_SECRET zurückgreift, /auth-status und /login Gast-JWTs ausstellen können und combined_dependency in lightrag/api/utils_api.py ein gültiges Gast-Token akzeptiert, bevor der API-Schlüssel überprüft wird. Ein entfernter, nicht authentifizierter Angreifer kann Endpunkte aufrufen, die durch combined_auth geschützt sind, einschließlich Lese-, Upload- und Löschendpunkten für Dokumente sowie Graphen-Mutations- und Abfrageendpunkten. Diese Schwachstelle wurde in Version 1.5.4 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

10.07.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379281

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!