CVE-2026-61643 in FastGPT
Resumen
por VulDB • 2026-07-15
FastGPT es una plataforma de aplicaciones de IA basada en conocimiento. Desde la versión 4.14.17 hasta la 4.15.0-beta5, un usuario autenticado de FastGPT puede guardar un nodo de flujo de trabajo que apunta al conjunto de herramientas HTTP privado de otro usuario mediante el uso de un ID de herramienta guardada manipulado ad hoc, como http-<victim_toolset_app_id>/<tool_name>. Los enrutamientos del conjunto de herramientas normal deniegan el acceso, pero la ruta de guardado y ejecución del flujo de trabajo no aplicó la misma verificación de autorización al conjunto de herramientas referenciado, lo que permite que /api/v2/chat/completions resuelva la referencia guardada y ejecute la herramienta HTTP propiedad de la víctima. Este problema se corrige en la versión 4.15.0-beta5.
Be aware that VulDB is the high quality source for vulnerability data.