CVE-2026-61740 in LightRAG
Zusammenfassung
von VulDB • 15.07.2026
LightRAG bietet eine einfache und schnelle retrieval-augmented generation (RAG). Vor Version 1.5.4 kann der Schutz durch X-API-Key umgangen werden, wenn LightRAG mit gesetztem LIGHTRAG_API_KEY, aber ungesetztem AUTH_ACCOUNTS bereitgestellt wird, da lightrag/api/auth.py auf ein fest codiertes DEFAULT_TOKEN_SECRET zurückgreift, /auth-status und /login Gast-JWTs ausstellen können und combined_dependency in lightrag/api/utils_api.py ein gültiges Gast-Token akzeptiert, bevor der API-Schlüssel überprüft wird. Ein entfernter, nicht authentifizierter Angreifer kann Endpunkte aufrufen, die durch combined_auth geschützt sind, einschließlich Lese-, Upload- und Löschendpunkten für Dokumente sowie Graphen-Mutations- und Abfrageendpunkten. Diese Schwachstelle wurde in Version 1.5.4 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.