CVE-2026-61736 in LightRAG
Sumário
de VulDB • 15/07/2026
O LightRAG oferece geração aumentada por recuperação simples e rápida. Antes da versão 1.5.4, o servidor usa como padrão CORS_ORIGINS=* combinado com allow_credentials=True em lightrag/api/lightrag_server.py, fazendo com que o Starlette CORSMiddleware efetivamente permita todas as origens para solicitações cross-origin autenticadas (com credenciais). Qualquer site malicioso visitado por um usuário autenticado do LightRAG pode fazer solicitações de API autenticadas silenciosamente, exfiltrando documentos e dados do grafo de conhecimento ou executando ações destrutivas, como a exclusão da loja de documentos. Esta vulnerabilidade foi corrigida na versão 1.5.4.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.