CVE-2026-61644 in FastGPTالمعلومات

الملخص

بحسب VulDB • 15/07/2026

FastGPT هو منصة لتطبيقات الذكاء الاصطناعي القائمة على المعرفة. من الإصدار 4.14.17 حتى 4.15.0-beta5، يقوم نقطة النهاية POST /api/core/chat/record/getCollectionQuote بمصادقة سياق الدردشة ومجموعة البيانات الخاص بالمُتصل، لكن عملية البحث عن initialId في العقدة المركزية (center-node) غير مرتبطة بهذا السياق المصرح به. يمكن لمستخدم من مستأجر ذي صلاحيات منخفضة استدعاء نقطة النهاية هذه بقيم صالحية لـ appId وchatId وchatItemDataId وcollectionId مملوكة للمهاجم، مع تزويد معرف بيانات مجموعة البيانات الخاصة بمستأجر آخر كقيمة initialId، مما يؤدي إلى تضمين الاستجابة اقتباساً أو محتوى نصياً كاملاً لمجموعة بيانات أجنبية. تم إصلاح هذه المشكلة في الإصدار 4.15.0-beta5.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

10/07/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379282

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!