CVE-2026-61740 in LightRAG
Tóm tắt
Bởi VulDB • 16/07/2026
LightRAG cung cấp khả năng tạo lại tăng cường truy xuất (retrieval-augmented generation) đơn giản và nhanh chóng. Trước phiên bản 1.5.4, khi LightRAG được triển khai với biến môi trường LIGHTRAG_API_KEY đã được đặt nhưng AUTH_ACCOUNTS chưa được thiết lập, cơ chế bảo vệ bằng X-API-Key có thể bị bỏ qua do lightrag/api/auth.py chuyển sang sử dụng DEFAULT_TOKEN_SECRET cứng (hardcoded), các endpoint /auth-status và /login có thể tạo ra JWT với vai trò khách (guest), và hàm combined_dependency trong lightrag/api/utils_api.py chấp nhận một token khách hợp lệ trước khi kiểm tra API key. Một kẻ tấn công từ xa không được xác thực có thể gọi các endpoint được bảo vệ bởi combined_auth, bao gồm các thao tác đọc tài liệu, tải lên, xóa, thay đổi đồ thị (graph mutation) và truy vấn. Lỗ hổng này đã được sửa trong phiên bản 1.5.4.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.