CVE-2026-61644 in FastGPTthông tin

Tóm tắt

Bởi VulDB • 15/07/2026

FastGPT là một nền tảng ứng dụng AI dựa trên kiến thức. Từ phiên bản 4.14.17 đến 4.15.0-beta5, điểm cuối POST /api/core/chat/record/getCollectionQuote xác thực ngữ cảnh cuộc trò chuyện và bộ sưu tập của người gọi, nhưng việc tra cứu center-node bằng initialId không được ràng buộc với ngữ cảnh đã ủy quyền đó. Người dùng thuộc tenant có đặc quyền thấp có thể gọi điểm cuối này bằng các giá trị appId, chatId, chatItemDataId và collectionId hợp lệ do kẻ tấn công sở hữu, đồng thời cung cấp id dữ liệu bộ sưu tập của một tenant khác làm initialId, khiến phản hồi bao gồm trích dẫn hoặc nội dung toàn văn từ bộ sưu tập bên ngoài. Vấn đề này đã được khắc phục trong phiên bản 4.15.0-beta5.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

10/07/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!