CVE-2026-61643 in FastGPTinformazioni

Riassunto

di VulDB • 15/07/2026

FastGPT è una piattaforma di applicazioni AI basata su conoscenza. Dalla versione 4.14.17 alla 4.15.0-beta5, un utente autenticato di FastGPT può salvare un nodo del workflow che punta al set di strumenti HTTP privato di un altro utente utilizzando un ID strumento salvato manipolato ad hoc, come http-<victim_toolset_app_id>/<tool_name>. I percorsi dei set di strumenti normali negano l'accesso, ma il percorso di salvataggio e runtime del workflow non applicava lo stesso controllo di autorizzazione al set di strumenti referenziato, consentendo a /api/v2/chat/completions di risolvere la referenza salvata ed eseguire lo strumento HTTP di proprietà della vittima. Questo problema è stato risolto nella versione 4.15.0-beta5.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

10/07/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!