CVE-2026-61740 in LightRAG
요약
\~에 의해 VulDB • 2026. 07. 15.
LightRAG는 단순하고 빠른 검색 증강 생성(Retrieval-Augmented Generation)을 제공합니다. 버전 1.5.4 이전에서 LIGHTRAG_API_KEY가 설정되었지만 AUTH_ACCOUNTS가 비어 있는 상태로 LightRAG를 배포할 경우, lightrag/api/auth.py가 하드코딩된 DEFAULT_TOKEN_SECRET으로 폴백되므로 X-API-Key 보호 장치를 우회할 수 있습니다. 또한 /auth-status 및 /login 엔드포인트에서 게스트 JWT 토큰을 발급받을 수 있으며, lightrag/api/utils_api.py의 combined_dependency는 API 키를 확인하기 전에 유효한 게스트 토큰을 허용합니다. 이를 통해 원격 비인증 공격자는 문서 읽기, 업로드, 삭제, 그래프 수정 및 쿼리 엔드포인트 등 combined_auth로 보호되는 모든 엔드포인트에 접근할 수 있습니다. 이 취약점은 버전 1.5.4에서 해결되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.