CVE-2026-58473: Kritisk sårbarhed i Cognee AI
Kritisk fejl i Cognee lader hackere omdirigere al AI-trafik til egne servere og stjæle data fra alle brugere.
Hvad er det?
Cognee er et AI-framework der bruges til at bygge vidensgrafer og behandle dokumenter med sprogmodeller (LLM’er). I versioner før 1.2.0 er der en kritisk adgangskontrol-fejl: Enhver kan oprette en konto og derefter ændre den globale konfiguration for, hvilken AI-udbyder systemet bruger. Der burde kræves administratorrettigheder til dette, men systemet tjekker slet ikke, hvem der foretager ændringen. Resultatet er, at en angriber kan pege hele systemets AI-trafik mod sin egen server og opsnappe alt, hvad der sendes.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer der kører Cognee i version under 1.2.0 — enten selv-hostet eller i et internt miljø. Særligt udsatte er dem der bruger Cognee til at behandle fortrolige dokumenter, kundedata eller intern viden via AI. Fordi fejlen ikke kræver nogen form for forudgående adgang, er alle installations-typer i risiko så snart systemet er tilgængeligt over et netværk.
Hvad kan ske?
En angriber der udnytter denne fejl kan:
- Omdirigere al AI-kommunikation til en server de selv kontrollerer
- Opsnappe og læse alle forespørgsler (prompts) sendt af samtlige brugere
- Stjæle uploadede dokumenter og de data der udtrækkes fra dem
- Få adgang til systemets vidensgraf og alle gemte entiteter og relationer
- Manipulere AI-svarene der sendes tilbage til brugerne
Angrebet rammer hele installationen på én gang — ikke kun én bruger.
Hvor alvorligt er det?
CVSS-scoren er 9.1 ud af 10 (Kritisk). Det er ekstremt alvorligt af flere grunde: Angrebet kræver hverken særlige tekniske færdigheder, eksisterende adgang eller handling fra jeres brugere. Det kan udføres over internettet af hvem som helst. Fortrolighed og integritet af data er begge fuldt kompromitterede. CWE-306 og CWE-862 refererer til henholdsvis manglende godkendelse og manglende autorisationstjek — to fundamentale sikkerhedsfejl der tilsammen giver angribere fuldstændig kontrol over systemets AI-lag.
Hvad gør jeg nu?
Opdater Cognee til version 1.2.0 eller nyere så hurtigt som muligt. Følg disse trin:
- Identificér om I bruger Cognee: Spørg jeres IT-ansvarlige eller leverandør om Cognee indgår i jeres systemer, direkte eller som del af et større produkt.
- Tjek versionen: Find ud af hvilken version I kører. Er den under 1.2.0, er I sårbare.
- Opdatér straks til 1.2.0: Gennemfør opdateringen via Cognees officielle kanaler. Sæt opdateringen i kø som en akut opgave — ikke en planlagt.
- Begræns netværksadgang midlertidigt: Hvis opdatering ikke kan ske med det samme, begræns da adgangen til Cognee-installationen til kendte IP-adresser eller interne netværk.
- Gennemgå adgangslogge: Undersøg om der har været ukendte kontooprettelser eller ændringer i konfigurationen for AI-udbydere. Kontakt jeres IT-sikkerhedsrådgiver ved mistanke.
- Orienter relevante parter: Hvis I håndterer persondata, vurdér om hændelsen skal anmeldes til Datatilsynet i henhold til GDPR.
Opdatér inden for 24-48 timer
Opdatér Cognee til version 1.2.0 hurtigst muligt — behandl dette som en akut driftsopgave, ikke en planlagt opdatering. Hvis I ikke selv vedligeholder jeres Cognee-installation, kontakt jeres IT-leverandør i dag og bed dem bekræfte at opdateringen er gennemført. Overvej samtidig at gennemgå, hvilke dokumenter og data der har passeret gennem systemet, og om de kan være kompromitterede.
Tidslinje
Konkrete eksempler
Angriberen kaprer AI-udbyderen
En angriber opretter gratis en brugerkonto på en virksomheds Cognee-installation der er tilgængelig over internettet. Derefter sender angriberen et enkelt API-kald til settings-endpointet og ændrer LLM-udbyderens adresse til sin egen server. Fra nu af modtager angrigerens server alle forespørgsler og dokumenter som virksomhedens medarbejdere sender til AI-systemet — uden at nogen opdager det.
Masseeksfiltrering af fortrolige dokumenter
En advokatvirksomhed bruger Cognee til at analysere kontrakter og juridiske dokumenter. En angriber udnytter fejlen og omdirigierer AI-trafikken. I de følgende dage opsnappe angriberen indholdet af samtlige kontrakter og klientkorrespondance der uploades til systemet af alle medarbejdere — uden at der efterlades spor i virksomhedens egne systemer.
Manipulation af AI-svar
En angriber der kontrollerer LLM-endpointet kan ikke kun opsnappe data — de kan også sende manipulerede svar tilbage til brugerne. I en virksomhed der bruger Cognee til intern videndeling, kan angriberen få systemet til at give forkerte eller vildledende informationer til medarbejderne, fx i forbindelse med HR-procedurer, compliance-spørgsmål eller teknisk support.
Ofte stillede spørgsmål
Skal jeg bruge Cognee for at være i risiko?
Ja. Sårbarheden er specifik for Cognee-softwaren i versioner under 1.2.0. Bruger I ikke Cognee, er I ikke berørt af netop denne fejl. Er I i tvivl om jeres software-stack, så spørg jeres IT-ansvarlige.
Kan vi bare slå registrering af nye brugere fra som en midlertidig løsning?
Det kan reducere den umiddelbare risiko, men det er ikke en tilstrækkelig løsning. Fejlen sidder i selve rettigheds-tjekket på settings-endpointet, og en angriber der allerede har oprettet en konto før I lukker for registrering, kan stadig udnytte sårbarheden. Opdatering til 1.2.0 er den eneste sikre løsning.
Hvordan ved jeg om nogen allerede har udnyttet fejlen?
Kig efter ukendte brugerkonti oprettet i systemet, og tjek om LLM-udbyderens konfiguration er ændret til en ukendt adresse. Gennemgå også systemlogge for usædvanlige kald til settings-endpointet. Har I mistanke om et angreb, bør I kontakte en IT-sikkerhedsekspert til en grundigere undersøgelse.
Er dette et krav vi skal indberette til Datatilsynet?
Hvis I behandler personoplysninger via Cognee, og I har grund til at tro at data kan være tilgået af uvedkommende, har I som udgangspunkt 72 timers pligt til at anmelde bruddet til Datatilsynet under GDPR. Kontakt jeres databeskyttelsesrådgiver (DPO) eller juridiske rådgiver for en konkret vurdering af jeres situation.
Hvad er en LLM-udbyder, og hvorfor er det farligt at omdirigere den?
En LLM-udbyder (Large Language Model) er den AI-tjeneste der behandler jeres tekst og dokumenter — fx OpenAI eller en selvhostet model. Når angriberen omdirigerer denne forbindelse til sin egen server, ser de al tekst I sender til AI’en: dokumentindhold, spørgsmål, svar og interne data. Det svarer til at nogen hemmeligt skifter jeres postkasse ud med deres egen.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Cognee before 1.2.0 contains an improper access control vulnerability that allows unauthenticated attackers to overwrite the global LLM provider configuration by self-registering an account and calling the settings endpoint, which performs no admin or superuser check. Attackers can redirect all LLM operations instance-wide to an attacker-controlled endpoint by exploiting the process-wide singleton configuration cache, enabling exfiltration of prompts, uploaded documents, extracted entities, and knowledge graph content from all users.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
