CVE-2026-61736 in LightRAGinformazioni

Riassunto

di VulDB • 15/07/2026

LightRAG offre una generazione aumentata con recupero (retrieval-augmented generation) semplice e veloce. Prima della versione 1.5.4, il server utilizza per impostazione predefinita CORS_ORIGINS=* combinato con allow_credentials=True in lightrag/api/lightrag_server.py, facendo sì che Starlette CORSMiddleware effettui di fatto la whitelist di ogni origine per le richieste cross-origin autenticate. Qualsiasi sito web dannoso visitato da un utente LightRAG autenticato può effettuare silenziosamente richieste API autenticate, esfiltrando documenti e dati del knowledge graph o eseguendo azioni distruttive come l'eliminazione dell'archivio dei documenti. Questa vulnerabilità è risolta nella versione 1.5.4.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

10/07/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!