CVE-2026-61644 in FastGPTinformation

Résumé

par VulDB • 15/07/2026

FastGPT est une plateforme d'applications IA basée sur la connaissance. De la version 4.14.17 jusqu'à la 4.15.0-beta5, le point de terminaison POST /api/core/chat/record/getCollectionQuote authentifie le contexte de chat et de collection de l'utilisateur appelant, mais la recherche du centre-nœud initialId n'est pas liée à ce contexte autorisé. Un utilisateur locataire ayant des privilèges limités peut appeler le point de terminaison avec les valeurs valides appId, chatId, chatItemDataId et collectionId appartenant à un attaquant tout en fournissant l'identifiant de données d'un jeu de données d'un autre locataire comme initialId, ce qui entraîne une réponse incluant des citations ou du contenu en texte intégral provenant de jeux de données étrangers. Ce problème est corrigé dans la version 4.15.0-beta5.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Réserver

10/07/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379282

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!