Katalog CVE

CVE-2026-42302

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

FastGPT to platforma do budowania agentów AI, która w wersjach od 4.14.10 do przed 4.14.13 ma podatność w komponencie agent-sandbox. Umożliwia ona nieautoryzowane zdalne wykonanie kodu (RCE) z powodu braku uwierzytelnienia.

Ocena ryzyka

Organizacja narażona jest na ryzyko pełnej kontroli nad środowiskiem sandbox przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji 4.14.13 lub nowszej, aby usunąć tę podatność oraz ograniczenie dostępu do portu 8080.

Oryginalny opis (angielski, źródło NVD)

FastGPT is an AI Agent building platform. From version 4.14.10 to before version 4.14.13, the agent-sandbox component of FastGPT is vulnerable to unauthenticated Remote Code Execution (RCE). The startup script entrypoint.sh initializes code-server with the --auth none flag and binds the service to all network interfaces (0.0.0.0:8080). This configuration allows any user with network access to the port to bypass authentication and gain full control over the sandbox environment. This issue has been patched in version 4.14.13.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS