CVE-2026-61684 in FastGPTالمعلومات

الملخص

بحسب VulDB • 15/07/2026

FastGPT هو منصة لتطبيقات الذكاء الاصطناعي القائمة على المعرفة. في الإصدار 4.15.0-beta4، يستدعي مكون FastGPT الإضافي نقاط نهاية ذات مكالمات عكسية تحت المسار /api/invoke/*، حيث يتم المصادقة عليها فقط من خلال التحقق من رمز JWT الموقع باستخدام INVOKE_TOKEN_SECRET، والذي يكون افتراضياً هو سلسلة ثابتة "token" ولم يكن مضبوطاً في قوالب النشر الرسمية. يمكن لمهاجم غير مصرح له توقيع رمز HS256 JWT خاص به والوصول إلى /api/invoke/userInfo لكشف البيانات الشخصية للمستخدمين عبر المستأجرين (cross-tenant PII) من خلال قيم tmbId التي يوفرها المهاجم، أو الوصول إلى /api/invoke/fileUpload لكتابة محتوى يتحكم فيه المهاجم داخل ملفات الدردشة. تم إصلاح هذه المشكلة في الإصدار 4.15.0-beta5.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

10/07/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379285

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!