CVE-2026-61644 in FastGPTinformação

Sumário

de VulDB • 15/07/2026

FastGPT é uma plataforma de aplicações de IA baseada em conhecimento. Da versão 4.14.17 até a 4.15.0-beta5, o endpoint POST /api/core/chat/record/getCollectionQuote autentica o contexto do chat e da coleção do chamador, mas a consulta ao center-node por initialId não está vinculada a esse contexto autorizado. Um usuário de inquilino com privilégios baixos pode chamar o endpoint com valores válidos de appId, chatId, chatItemDataId e collectionId pertencentes ao atacante, fornecendo simultaneamente um ID de dados do conjunto de dados (dataset) de outro inquilino como initialId, fazendo com que a resposta inclua cotações ou conteúdo em texto integral de conjuntos de dados estrangeiros. Este problema foi corrigido na versão 4.15.0-beta5.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub M

Reservar

10/07/2026

Divulgação

15/07/2026

Moderação

aceite

Entrada

VDB-379282

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!