Katalog CVE

CVE-2026-34162

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

FastGPT to platforma do budowania agentów AI. W wersjach przed 4.14.9.5, punkt końcowy testowania narzędzi HTTP (/api/core/app/httpTools/runTool) był dostępny bez autoryzacji, co pozwalało na pełne wykorzystanie proxy HTTP przez użytkowników.

Ocena ryzyka

Brak autoryzacji na tym punkcie końcowym może prowadzić do nieautoryzowanego dostępu do zasobów serwera oraz potencjalnego wycieku danych. Organizacje mogą być narażone na ataki, które wykorzystują ten punkt końcowy do przeprowadzania niebezpiecznych żądań HTTP.

Rekomendacja

Zaleca się aktualizację do wersji 4.14.9.5 lub nowszej, aby zabezpieczyć punkt końcowy przed nieautoryzowanym dostępem. Dodatkowo, warto wdrożyć dodatkowe mechanizmy autoryzacji dla krytycznych punktów końcowych.

Oryginalny opis (angielski, źródło NVD)

FastGPT is an AI Agent building platform. Prior to version 4.14.9.5, the FastGPT HTTP tools testing endpoint (/api/core/app/httpTools/runTool) is exposed without any authentication. This endpoint acts as a full HTTP proxy — it accepts a user-supplied baseUrl, toolPath, HTTP method, custom headers, and body, then makes a server-side HTTP request and returns the complete response to the caller. This issue has been patched in version 4.14.9.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS