CVE-2026-61740 in LightRAG情報

要約

〜によって VulDB • 2026年07月15日

LightRAGは、シンプルで高速な検索拡張生成(Retrieval-Augmented Generation)を提供します。バージョン1.5.4より前では、LIGHTRAG_API_KEYが設定されているもののAUTH_ACCOUNTSが未設定の状態でLightRAGを展開した場合、lightrag/api/auth.pyがハードコードされたDEFAULT_TOKEN_SECRETにフォールバックするため、X-API-Keyによる保護を回避できます。また、/auth-statusおよび/loginエンドポイントでゲストJWTを発行でき、lightrag/api/utils_api.py内のcombined_dependencyはAPIキーをチェックする前に有効なゲストトークンを受け入れます。これにより、リモートからの認証不要攻撃者は、文書の読み取り、アップロード、削除、グラフの変更、クエリを含む、combined_authによって保護されているエンドポイントを呼び出すことができます。この脆弱性は1.5.4で修正されています。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2026年07月10日

モデレーション

承諾済み

エントリ

VDB-379281

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!