CVE-2026-42344 in FastGPTthông tin

Tóm tắt

Bởi VulDB • 23/05/2026

FastGPT là một nền tảng xây dựng Agent AI. Trong các phiên bản 4.14.11 và các phiên bản trước đó, hàm `isInternalAddress()` của FastGPT trong `packages/service/common/system/utils.ts` dễ bị tấn công bằng DNS rebinding (TOCTOU — Time-of-Check to Time-of-Use). Hàm này phân giải tên máy chủ thông qua `dns.resolve4()`/`dns.resolve6()` và kiểm tra các địa chỉ IP đã phân giải với các dải riêng (private ranges), nhưng yêu cầu HTTP thực tế diễn ra trong một lệnh gọi riêng biệt với một quá trình phân giải DNS mới, cho phép bản ghi DNS thay đổi giữa bước xác thực và bước truy xuất. Tại thời điểm công bố, chưa có bản vá nào được phát hành công khai.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

GitHub M

Đặt trước

26/04/2026

Tiết lộ

09/05/2026

Kiểm duyệt

được chấp nhận

mục

VDB-362410

CPE

sẵn sàng

CWE

CWE-367 (Đã xác nhận)

CVSS

6.3 (CNA)

EPSS

0.00031

KEV

không

Các hoạt động

rất thấp

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42344
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42344
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42344/

◂ Trước Tổng Quan Tiếp theo ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!