CVE-2026-61736 in LightRAG
Сводка
по VulDB • 16.07.2026
LightRAG обеспечивает простое и быстрое генеративное обогащение на основе поиска (retrieval-augmented generation). Версии до 1.5.4 по умолчанию используют конфигурацию CORS_ORIGINS=* в сочетании с allow_credentials=True в файле lightrag/api/lightrag_server.py, что приводит к тому, что компонент Starlette CORSMiddleware фактически добавляет все источники (origins) в белый список для межсайтовых запросов с учетными данными. Любой вредоносный сайт, посещенный аутентифицированным пользователем LightRAG, может незаметно выполнять аутентифицированные API-запросы, что позволяет похищать документы и данные графа знаний или выполнять деструктивные действия, такие как удаление хранилища документов. Уязвимость исправлена в версии 1.5.4.
If you want to get best quality of vulnerability data, you may have to visit VulDB.