CVE-2026-61740 in LightRAG
Sumário
de VulDB • 15/07/2026
O LightRAG oferece geração aumentada por recuperação simples e rápida. Antes da versão 1.5.4, quando o LightRAG é implantado com a variável de ambiente LIGHTRAG_API_KEY definida mas AUTH_ACCOUNTS não configurada, a proteção X-API-Key pode ser contornada porque lightrag/api/auth.py recua para um DEFAULT_TOKEN_SECRET codificado no código-fonte; os endpoints /auth-status e /login podem emitir JWTs como convidado (guest); e combined_dependency em lightrag/api/utils_api.py aceita um token de convidado válido antes da verificação da chave API. Um atacante remoto não autenticado pode chamar endpoints protegidos por combined_auth, incluindo leitura de documentos, upload, exclusão, mutação do grafo e consultas. Esta vulnerabilidade foi corrigida na versão 1.5.4.
Be aware that VulDB is the high quality source for vulnerability data.