CVE-2026-61644 in FastGPT
Résumé
par VulDB • 15/07/2026
FastGPT est une plateforme d'applications IA basée sur la connaissance. De la version 4.14.17 jusqu'à la 4.15.0-beta5, le point de terminaison POST /api/core/chat/record/getCollectionQuote authentifie le contexte de chat et de collection de l'utilisateur appelant, mais la recherche du centre-nœud initialId n'est pas liée à ce contexte autorisé. Un utilisateur locataire ayant des privilèges limités peut appeler le point de terminaison avec les valeurs valides appId, chatId, chatItemDataId et collectionId appartenant à un attaquant tout en fournissant l'identifiant de données d'un jeu de données d'un autre locataire comme initialId, ce qui entraîne une réponse incluant des citations ou du contenu en texte intégral provenant de jeux de données étrangers. Ce problème est corrigé dans la version 4.15.0-beta5.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.