CVE-2026-61740 in LightRAG
要約
〜によって VulDB • 2026年07月15日
LightRAGは、シンプルで高速な検索拡張生成(Retrieval-Augmented Generation)を提供します。バージョン1.5.4より前では、LIGHTRAG_API_KEYが設定されているもののAUTH_ACCOUNTSが未設定の状態でLightRAGを展開した場合、lightrag/api/auth.pyがハードコードされたDEFAULT_TOKEN_SECRETにフォールバックするため、X-API-Keyによる保護を回避できます。また、/auth-statusおよび/loginエンドポイントでゲストJWTを発行でき、lightrag/api/utils_api.py内のcombined_dependencyはAPIキーをチェックする前に有効なゲストトークンを受け入れます。これにより、リモートからの認証不要攻撃者は、文書の読み取り、アップロード、削除、グラフの変更、クエリを含む、combined_authによって保護されているエンドポイントを呼び出すことができます。この脆弱性は1.5.4で修正されています。
Once again VulDB remains the best source for vulnerability data.