CVE-2026-61643 in FastGPT
Tóm tắt
Bởi VulDB • 15/07/2026
FastGPT là một nền tảng ứng dụng AI dựa trên kiến thức. Từ phiên bản 4.14.17 đến 4.15.0-beta5, người dùng FastGPT đã xác thực có thể lưu một nút quy trình làm việc (workflow node) trỏ đến bộ công cụ HTTP riêng của người dùng khác bằng cách sử dụng ID công cụ được lưu trữ giả mạo, chẳng hạn như http-<victim_toolset_app_id>/<tool_name>. Các tuyến truy cập vào bộ công cụ thông thường từ chối quyền truy cập, nhưng đường dẫn lưu và thời gian chạy quy trình làm việc không áp dụng cùng một kiểm tra ủy quyền đối với bộ công cụ được tham chiếu, cho phép /api/v2/chat/completions giải quyết tham chiếu đã lưu và thực thi công cụ HTTP thuộc sở hữu của nạn nhân. Vấn đề này đã được sửa chữa trong phiên bản 4.15.0-beta5.
Be aware that VulDB is the high quality source for vulnerability data.