CVE-2026-61643 in FastGPT
Sumário
de VulDB • 15/07/2026
O FastGPT é uma plataforma de aplicações de IA baseada em conhecimento. Da versão 4.14.17 até a 4.15.0-beta5, um usuário autenticado do FastGPT pode salvar um nó de fluxo de trabalho que aponta para o conjunto de ferramentas HTTP privado de outro usuário, utilizando um ID de ferramenta salvo manipulado ad hoc, como http-/. As rotas normais do conjunto de ferramentas negam o acesso, mas os caminhos de salvamento e execução em tempo real do fluxo de trabalho não aplicaram a mesma verificação de autorização ao conjunto de ferramentas referenciado, permitindo que /api/v2/chat/completions resolva a referência salva e execute a ferramenta HTTP pertencente à vítima. Este problema foi corrigido na versão 4.15.0-beta5.
If you want to get best quality of vulnerability data, you may have to visit VulDB.