漏洞  ·  2026-07-09

Cognee 不当访问控制——未认证 LLM 提供商配置覆盖

漏洞High 影响GlobalCVE-2026-58473
CVE-2026-58473(CVSS 9.1 严重),发布于 2026 年 7 月 7 日,是 Cognee 中的不当访问控制漏洞,允许任何自注册的未认证层级攻击者通过缺乏授权检查的设置端点覆盖实例级 LLM 提供商配置。
多租户 AI 内存平台中的全局 LLM 提供商劫持允许攻击者将所有用户的 LLM 流量重定向到恶意端点,支持大规模提示/响应拦截、凭据盗取和在实例上所有租户中对 AI 输出的操纵。
攻击者自注册一个账户(不需要特殊权限)并调用设置端点,该端点不执行管理员/超级用户授权检查,允许他们覆盖所有租户的全局 LLM 提供商配置——将所有 LLM 流量重定向到攻击者控制的端点。
Cognee(AI 知识/内存框架)1.2.0 之前的版本
升级到 Cognee ≥1.2.0(修复参照 github.com/topoteretes/cognee 提交 d10b1b7);在设置端点上强制实施管理员/超级用户检查。
NVD - CVE-2026-58473Cognee fix commit
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →