CVE-2026-61736 in LightRAG
요약
\~에 의해 VulDB • 2026. 07. 16.
LightRAG는 단순하고 빠른 검색 증강 생성(Retrieval-Augmented Generation)을 제공합니다. 버전 1.5.4 이전의 lightrag/api/lightrag_server.py에서는 CORS_ORIGINS=*가 allow_credentials=True와 함께 기본값으로 설정되어 있어, Starlette CORSMiddleware가 자격 증명 기반 크로스 오리진 요청에 대해 모든 출처(origin)를 사실상 허용하는 whitelist로 동작하게 됩니다. 인증된 LightRAG 사용자가 방문한 악성 웹사이트는 사용자의 자격 증명을 사용하여 정적이지 않게 API 요청을 수행할 수 있으며, 이를 통해 문서 및 지식 그래프 데이터를 유출하거나 문서 저장소 삭제와 같은 파괴적인 작업을 실행할 수 있습니다. 이 취약점은 버전 1.5.4에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.