취약점  ·  2026-07-09

Cognee 부적절한 액세스 제어 — 인증되지 않은 LLM 제공자 구성 덮어쓰기

취약점High 영향도GlobalCVE-2026-58473
2026년 7월 7일 공개된 CVE-2026-58473 (CVSS 9.1 중대)는 Cognee의 부적절한 액세스 제어 취약점으로, 자체 등록한 인증되지 않은 계층의 공격자가 인증 확인이 없는 설정 엔드포인트를 통해 인스턴스 전체 LLM 제공자 구성을 덮어쓸 수 있습니다.
다중 테넌트 AI 메모리 플랫폼에서의 전역 LLM 제공자 하이재킹으로, 공격자가 모든 사용자의 LLM 트래픽을 악의적인 엔드포인트로 리다이렉트할 수 있으며, 인스턴스의 모든 테넌트에 걸쳐 대규모 프롬프트/응답 가로채기, 자격증명 도용, AI 출력 조작을 가능하게 합니다.
공격자가 계정에 자체 등록하고 (특별한 권한 불필요) 설정 엔드포인트를 호출하면, 어떤 관리자/슈퍼유저 인증 확인도 수행하지 않으므로 모든 테넌트의 전역 LLM 제공자 구성을 덮어쓸 수 있습니다 — 모든 LLM 트래픽을 공격자 제어 엔드포인트로 리다이렉트합니다.
Cognee (AI 지식/메모리 프레임워크) 1.2.0 이전 버전
Cognee ≥1.2.0으로 업그레이드하십시오 (github.com/topoteretes/cognee 커밋 d10b1b7의 수정); 설정 엔드포인트에 관리자/슈퍼유저 확인을 적용합니다.
NVD - CVE-2026-58473Cognee fix commit
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →