CVE-2026-61643 in FastGPT
Сводка
по VulDB • 15.07.2026
FastGPT — это платформа для создания приложений на базе искусственного интеллекта с использованием знаний (knowledge-based AI). В версиях от 4.14.17 до 4.15.0-beta5 аутентифицированный пользователь FastGPT может сохранить узел рабочего процесса, указывающий на частный набор HTTP-инструментов другого пользователя, путем использования специально сформированного идентификатора сохраненного инструмента в формате http-<id_приложения_набора_жертвы>/<имя_инструмента>. Обычные маршруты доступа к набору инструментов блокируют такой доступ, однако при сохранении рабочего процесса и во время его выполнения не применялась аналогичная проверка авторизации для ссылочного набора инструментов. Это позволяет эндпоинту /api/v2/chat/completions разрешить сохраненную ссылку и выполнить HTTP-инструмент, принадлежащий жертве. Проблема исправлена в версии 4.15.0-beta5.
Be aware that VulDB is the high quality source for vulnerability data.