脆弱性  ·  2026-07-09

Cognee Improper Access Control — Unauthenticated LLM Provider Configuration Overwrite

脆弱性High 影響度GlobalCVE-2026-58473
CVE-2026-58473(CVSS 9.1 Critical)は2026年7月7日に公開されたもので、Cogneeのアクセス制御不正の脆弱性であり、自己登録した認証なしレベルの攻撃者がsettingsエンドポイント経由でインスタンス全体のLLMプロバイダー設定を上書きできます。このエンドポイントは認可チェックを欠いています。
マルチテナントAIメモリプラットフォームでのグローバルLLMプロバイダー横取りにより、攻撃者はすべてのユーザーのLLMトラフィックを悪意あるエンドポイントにリダイレクトでき、インスタンス上のすべてのテナント全体で大量のプロンプト/応答傍受、認証情報盗難、AI出力の操作が可能になります。
攻撃者が自分でアカウントを登録し(特別な権限は不要)、settingsエンドポイントを呼び出します。このエンドポイントは管理者/スーパーユーザー認可チェックを実行せず、すべてのテナント向けのグローバルLLMプロバイダー設定を上書きできるようにします。これはすべてのLLMトラフィックを攻撃者制御エンドポイントにリダイレクトします。
Cognee(AIナレッジ/メモリフレームワーク)バージョン1.2.0より前
Cognee ≥1.2.0にアップグレードしてください(修正はgithub.com/topoteretes/cognee commit d10b1b7に基づく)。settingsエンドポイントで管理者/スーパーユーザーチェックを実施してください。
NVD - CVE-2026-58473Cognee fix commit
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →