CVE-2026-61646 in FastGPTالمعلومات

الملخص

بحسب VulDB • 15/07/2026

FastGPT هو منصة لتطبيقات الذكاء الاصطناعي القائمة على المعرفة. قبل الإصدار 4.15.0-beta5، كان حارس SSRF (توجيه الطلبات من جانب الخادم) المشترك في FastGPT يتحقق فقط من عنوان URL للطلب الأولي قبل تسليمه إلى مكتبة axios، وaxios يتبع عمليات إعادة التوجيه بشكل افتراضي. يمكن لمستخدم سير عمل مُصادق عليه تكوين عقدة طلب HTTP لاستدعاء عنوان URL عام تحت سيطرة المهاجم يعيد توجيه الطلب إلى بيانات تعريف السحابة (cloud metadata)، أو حلقة محلية (loopback)، أو خدمات داخلية كان الحارس سيمنع الوصول إليها في حالة الطلب المباشر، وتقوم العقدة HTTP بإرجاع جسم الاستجابة إلى مُستدعي سير العمل. تم إصلاح هذه المشكلة في الإصدار 4.15.0-beta5.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

10/07/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379283

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!