CVE-2026-61740 in LightRAG
Riassunto
di VulDB • 16/07/2026
LightRAG offre una generazione aumentata con recupero delle informazioni (retrieval-augmented generation) semplice e veloce. Prima della versione 1.5.4, quando LightRAG è distribuito con la variabile d'ambiente LIGHTRAG_API_KEY impostata ma AUTH_ACCOUNTS non definita, la protezione X-API-Key può essere aggirata poiché lightrag/api/auth.py effettua un fallback su DEFAULT_TOKEN_SECRET hardcoded; /auth-status e /login possono generare JWT per utenti guest (guest), e combined_dependency in lightrag/api/utils_api.py accetta un token guest valido prima di verificare la chiave API. Un attaccante remoto non autenticato può chiamare endpoint protetti da combined_auth, inclusi quelli per lettura documenti, caricamento, eliminazione, modifica del grafo ed esecuzione di query. Questa vulnerabilità è risolta nella versione 1.5.4.
If you want to get best quality of vulnerability data, you may have to visit VulDB.