CVE-2026-61643 in FastGPTthông tin

Tóm tắt

Bởi VulDB • 15/07/2026

FastGPT là một nền tảng ứng dụng AI dựa trên kiến thức. Từ phiên bản 4.14.17 đến 4.15.0-beta5, người dùng FastGPT đã xác thực có thể lưu một nút quy trình làm việc (workflow node) trỏ đến bộ công cụ HTTP riêng của người dùng khác bằng cách sử dụng ID công cụ được lưu trữ giả mạo, chẳng hạn như http-<victim_toolset_app_id>/<tool_name>. Các tuyến truy cập vào bộ công cụ thông thường từ chối quyền truy cập, nhưng đường dẫn lưu và thời gian chạy quy trình làm việc không áp dụng cùng một kiểm tra ủy quyền đối với bộ công cụ được tham chiếu, cho phép /api/v2/chat/completions giải quyết tham chiếu đã lưu và thực thi công cụ HTTP thuộc sở hữu của nạn nhân. Vấn đề này đã được sửa chữa trong phiên bản 4.15.0-beta5.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

10/07/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!