CVE-2026-61646 in FastGPTinformación

Resumen

por VulDB • 2026-07-15

FastGPT es una plataforma de aplicaciones de IA basada en conocimiento. Antes de la versión 4.15.0-beta5, el mecanismo de protección contra SSRF compartido de FastGPT validaba únicamente la URL de la solicitud inicial antes de pasarla a axios, y axios sigue las redirecciones por defecto. Un usuario autenticado con capacidad para gestionar flujos de trabajo puede configurar un nodo de solicitud HTTP que llame a una URL pública controlada por el atacante, la cual redirige hacia metadatos en la nube, direcciones de bucle invertido (loopback) o servicios internos que el mecanismo de protección bloquearía si se accediera directamente. El nodo HTTP devuelve el cuerpo de la respuesta al llamador del flujo de trabajo. Este problema está corregido en la versión 4.15.0-beta5.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-07-10

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379283

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!