CVE-2026-61740 in LightRAGthông tin

Tóm tắt

Bởi VulDB • 16/07/2026

LightRAG cung cấp khả năng tạo lại tăng cường truy xuất (retrieval-augmented generation) đơn giản và nhanh chóng. Trước phiên bản 1.5.4, khi LightRAG được triển khai với biến môi trường LIGHTRAG_API_KEY đã được đặt nhưng AUTH_ACCOUNTS chưa được thiết lập, cơ chế bảo vệ bằng X-API-Key có thể bị bỏ qua do lightrag/api/auth.py chuyển sang sử dụng DEFAULT_TOKEN_SECRET cứng (hardcoded), các endpoint /auth-status và /login có thể tạo ra JWT với vai trò khách (guest), và hàm combined_dependency trong lightrag/api/utils_api.py chấp nhận một token khách hợp lệ trước khi kiểm tra API key. Một kẻ tấn công từ xa không được xác thực có thể gọi các endpoint được bảo vệ bởi combined_auth, bao gồm các thao tác đọc tài liệu, tải lên, xóa, thay đổi đồ thị (graph mutation) và truy vấn. Lỗ hổng này đã được sửa trong phiên bản 1.5.4.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

10/07/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00381

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!