CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34162

Critical
Published: Translated: NVD NIST

Summary

FastGPT to platforma do budowania agentów AI. W wersjach przed 4.14.9.5, punkt końcowy testowania narzędzi HTTP (/api/core/app/httpTools/runTool) był dostępny bez autoryzacji, co pozwalało na pełne wykorzystanie proxy HTTP przez użytkowników.

Risk Assessment

Brak autoryzacji na tym punkcie końcowym może prowadzić do nieautoryzowanego dostępu do zasobów serwera oraz potencjalnego wycieku danych. Organizacje mogą być narażone na ataki, które wykorzystują ten punkt końcowy do przeprowadzania niebezpiecznych żądań HTTP.

Recommendation

Zaleca się aktualizację do wersji 4.14.9.5 lub nowszej, aby zabezpieczyć punkt końcowy przed nieautoryzowanym dostępem. Dodatkowo, warto wdrożyć dodatkowe mechanizmy autoryzacji dla krytycznych punktów końcowych.

Original NVD description (English source)

FastGPT is an AI Agent building platform. Prior to version 4.14.9.5, the FastGPT HTTP tools testing endpoint (/api/core/app/httpTools/runTool) is exposed without any authentication. This endpoint acts as a full HTTP proxy — it accepts a user-supplied baseUrl, toolPath, HTTP method, custom headers, and body, then makes a server-side HTTP request and returns the complete response to the caller. This issue has been patched in version 4.14.9.5.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS