CVE-2026-33075 in FastGPTinformación

Resumen

por MITRE • 2026-03-20

FastGPT es una plataforma de creación de agentes de IA. En las versiones 4.14.8.3 e inferiores, el flujo de trabajo fastgpt-preview-image.yml es vulnerable a la ejecución de código arbitrario y a la exfiltración de secretos por cualquier colaborador externo. Utiliza pull_request_target (que se ejecuta con acceso a los secretos del repositorio) pero extrae código del fork del autor de la solicitud de extracción, luego construye y envía imágenes Docker utilizando Dockerfiles controlados por el atacante. Esto también permite un ataque a la cadena de suministro a través del registro de contenedores de producción. Un parche no estaba disponible en el momento de la publicación.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-17

Divulgación

2026-03-20

Moderación

aceptado

Artículo

VDB-352041

CPE

listo

EPSS

0.00019

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33075
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33075
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33075/

AnteriorVisión De ConjuntoPróximo

Do you need the next level of professionalism?

Upgrade your account now!