CVE-2026-61740 in LightRAG
Сводка
по VulDB • 15.07.2026
LightRAG обеспечивает простое и быстрое генеративное обогащение на основе поиска (retrieval-augmented generation). Версии LightRAG до 1.5.4 уязвимы к обходу защиты X-API-Key, если LightRAG развернут с установленным параметром LIGHTRAG_API_KEY, но не настроенными учетными данными AUTH_ACCOUNTS: в модуле lightrag/api/auth.py происходит возврат (fallback) на захардкоженный DEFAULT_TOKEN_SECRET; эндпоинты /auth-status и /login могут выпускать JWT-токены для гостевого доступа; а функция combined_dependency из lightrag/api/utils_api.py принимает действительный гостевой токен до проверки API-ключа. Удаленный неаутентифицированный злоумышленник может обращаться к эндпоинтам, защищенным функцией combined_auth, включая операции чтения документов, их загрузки и удаления, изменения графа (graph mutation) и выполнения запросов. Данная уязвимость исправлена в версии 1.5.4.
Be aware that VulDB is the high quality source for vulnerability data.