CVE-2026-61646 in FastGPT
Zusammenfassung
von VulDB • 15.07.2026
FastGPT ist eine wissensbasierte KI-Anwendungsplattform. Vor Version 4.15.0-beta5 validiert der gemeinsam genutzte SSRF-Schutz (Server-Side Request Forgery) von FastGPT nur die URL der ursprünglichen Anfrage, bevor sie an axios weitergeleitet wird; axios folgt dabei standardmäßig Weiterleitungen. Ein authentifizierter Workflow-Benutzer kann einen HTTP-Anforderungsknoten so konfigurieren, dass er eine vom Angreifer kontrollierte öffentliche URL aufruft, die zu Cloud-Metadaten, Loopback-Adressen oder internen Diensten weiterleitet, welche der Schutz bei einer direkten Anfrage blockieren würde. Der HTTP-Knoten gibt den Antworttext an den Workflow-Aufrufenden zurück. Dieses Problem wurde in Version 4.15.0-beta5 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.