CVE-2026-61736 in LightRAG
Riassunto
di VulDB • 15/07/2026
LightRAG offre una generazione aumentata con recupero (retrieval-augmented generation) semplice e veloce. Prima della versione 1.5.4, il server utilizza per impostazione predefinita CORS_ORIGINS=* combinato con allow_credentials=True in lightrag/api/lightrag_server.py, facendo sì che Starlette CORSMiddleware effettui di fatto la whitelist di ogni origine per le richieste cross-origin autenticate. Qualsiasi sito web dannoso visitato da un utente LightRAG autenticato può effettuare silenziosamente richieste API autenticate, esfiltrando documenti e dati del knowledge graph o eseguendo azioni distruttive come l'eliminazione dell'archivio dei documenti. Questa vulnerabilità è risolta nella versione 1.5.4.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.