CVE-2026-61646 in FastGPT
Riassunto
di VulDB • 15/07/2026
FastGPT è una piattaforma di applicazioni AI basata su conoscenza. Prima della versione 4.15.0-beta5, il meccanismo SSRF guard condiviso di FastGPT convalida solo l'URL della richiesta iniziale prima di inoltrare la richiesta ad axios, e axios segue i redirect per impostazione predefinita. Un utente autenticato del workflow può configurare un nodo HTTP request per chiamare un URL pubblico controllato dall'attaccante che reindirizza a cloud metadata, loopback o servizi interni che il guard bloccherebbe su una richiesta diretta, e il nodo HTTP restituisce il corpo della risposta al caller del workflow. Questo problema è risolto nella versione 4.15.0-beta5.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.