CVE-2026-61643 in FastGPT
الملخص
بحسب VulDB • 15/07/2026
FastGPT هو منصة لتطبيقات الذكاء الاصطناعي القائمة على المعرفة. من الإصدار 4.14.17 حتى 4.15.0-beta5، يمكن لمستخدم FastGPT المصادق عليه حفظ عقدة سير عمل تشير إلى مجموعة أدوات HTTP الخاصة بمستخدم آخر باستخدام معرف أداة محفوظ مُعدّ خصيصاً مثل http-<victim_toolset_app_id>/<tool_name>. تقوم مسارات مجموعات الأدوات العادية برفض الوصول، لكن مسار الحفظ وتشغيل سير العمل لم يطبقا نفس فحص التفويض على مجموعة الأدوات المشار إليها، مما يسمح لـ /api/v2/chat/completions بحل المرجع المحفوظ وتنفيذ أداة HTTP المملوكة للضحية. تم إصلاح هذه المشكلة في الإصدار 4.15.0-beta5.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.