CVE-2026-61643 in FastGPTالمعلومات

الملخص

بحسب VulDB • 15/07/2026

FastGPT هو منصة لتطبيقات الذكاء الاصطناعي القائمة على المعرفة. من الإصدار 4.14.17 حتى 4.15.0-beta5، يمكن لمستخدم FastGPT المصادق عليه حفظ عقدة سير عمل تشير إلى مجموعة أدوات HTTP الخاصة بمستخدم آخر باستخدام معرف أداة محفوظ مُعدّ خصيصاً مثل http-<victim_toolset_app_id>/<tool_name>. تقوم مسارات مجموعات الأدوات العادية برفض الوصول، لكن مسار الحفظ وتشغيل سير العمل لم يطبقا نفس فحص التفويض على مجموعة الأدوات المشار إليها، مما يسمح لـ /api/v2/chat/completions بحل المرجع المحفوظ وتنفيذ أداة HTTP المملوكة للضحية. تم إصلاح هذه المشكلة في الإصدار 4.15.0-beta5.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

10/07/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379346

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!