CVE-2026-61740 in LightRAG
Resumen
por VulDB • 2026-07-16
LightRAG proporciona una generación aumentada por recuperación simple y rápida. Antes de la versión 1.5.4, cuando LightRAG se despliega con LIGHTRAG_API_KEY configurado pero AUTH_ACCOUNTS sin configurar, la protección X-API-Key puede ser eludida porque lightrag/api/auth.py vuelve a un DEFAULT_TOKEN_SECRET codificado en duro; /auth-status y /login pueden emitir JWTs de invitado (guest), y combined_dependency en lightrag/api/utils_api.py acepta un token de invitado válido antes de verificar la clave API. Un atacante remoto no autenticado puede llamar a puntos finales protegidos por combined_auth, incluidos los endpoints para lectura, carga, eliminación de documentos, mutación del grafo y consultas. Esta vulnerabilidad está corregida en la versión 1.5.4.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.