CVE-2026-34162
CriticalSummary
FastGPT to platforma do budowania agentów AI. W wersjach przed 4.14.9.5, punkt końcowy testowania narzędzi HTTP (/api/core/app/httpTools/runTool) był dostępny bez autoryzacji, co pozwalało na pełne wykorzystanie proxy HTTP przez użytkowników.
Risk Assessment
Brak autoryzacji na tym punkcie końcowym może prowadzić do nieautoryzowanego dostępu do zasobów serwera oraz potencjalnego wycieku danych. Organizacje mogą być narażone na ataki, które wykorzystują ten punkt końcowy do przeprowadzania niebezpiecznych żądań HTTP.
Recommendation
Zaleca się aktualizację do wersji 4.14.9.5 lub nowszej, aby zabezpieczyć punkt końcowy przed nieautoryzowanym dostępem. Dodatkowo, warto wdrożyć dodatkowe mechanizmy autoryzacji dla krytycznych punktów końcowych.
Original NVD description (English source)
FastGPT is an AI Agent building platform. Prior to version 4.14.9.5, the FastGPT HTTP tools testing endpoint (/api/core/app/httpTools/runTool) is exposed without any authentication. This endpoint acts as a full HTTP proxy — it accepts a user-supplied baseUrl, toolPath, HTTP method, custom headers, and body, then makes a server-side HTTP request and returns the complete response to the caller. This issue has been patched in version 4.14.9.5.

