CVE-2026-61740 in LightRAGinformación

Resumen

por VulDB • 2026-07-16

LightRAG proporciona una generación aumentada por recuperación simple y rápida. Antes de la versión 1.5.4, cuando LightRAG se despliega con LIGHTRAG_API_KEY configurado pero AUTH_ACCOUNTS sin configurar, la protección X-API-Key puede ser eludida porque lightrag/api/auth.py vuelve a un DEFAULT_TOKEN_SECRET codificado en duro; /auth-status y /login pueden emitir JWTs de invitado (guest), y combined_dependency en lightrag/api/utils_api.py acepta un token de invitado válido antes de verificar la clave API. Un atacante remoto no autenticado puede llamar a puntos finales protegidos por combined_auth, incluidos los endpoints para lectura, carga, eliminación de documentos, mutación del grafo y consultas. Esta vulnerabilidad está corregida en la versión 1.5.4.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2026-07-10

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379281

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!