CVE-2026-61646 in FastGPTinformazioni

Riassunto

di VulDB • 15/07/2026

FastGPT è una piattaforma di applicazioni AI basata su conoscenza. Prima della versione 4.15.0-beta5, il meccanismo SSRF guard condiviso di FastGPT convalida solo l'URL della richiesta iniziale prima di inoltrare la richiesta ad axios, e axios segue i redirect per impostazione predefinita. Un utente autenticato del workflow può configurare un nodo HTTP request per chiamare un URL pubblico controllato dall'attaccante che reindirizza a cloud metadata, loopback o servizi interni che il guard bloccherebbe su una richiesta diretta, e il nodo HTTP restituisce il corpo della risposta al caller del workflow. Questo problema è risolto nella versione 4.15.0-beta5.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

10/07/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!