CVE-2026-44286 in FastGPTالمعلومات

الملخص

بحسب VulDB • 21/05/2026

FastGPT هو منصة لبناء وكلاء الذكاء الاصطناعي (AI Agents). قبل الإصدار 4.14.17، تتيح ثغرة تزوير الطلبات من جانب الخادم (SSRF) غير المصادق عليها للمهاجمين (أو المستخدمين المصادق عليهم الذين يتمتعون بصلاحيات تعديل التطبيقات) إرسال طلبات HTTP تعسفية إلى عناوين الشبكات الداخلية/الخاصة. تستخدم دالة fetchData في عقدة سير العمل lafModule مكتبة axios لجلب عناوين URL التي يتحكم فيها المستخدم دون التحقق منها مقابل قائمة حظر الشبكة الداخلية للتطبيق (isInternalAddress)، مما يتجاوز حماية SSRF. تم إصلاح هذه المشكلة في الإصدار 4.14.17.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

05/05/2026

إفشاء

09/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362417

CPE

جاهز

CWE

CWE-918 (مؤكد)

CVSS

6.3 (VulDB)

EPSS

0.00043

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44286
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44286
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44286/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!