CVE-2026-42302
KrytyczneStreszczenie
FastGPT to platforma do budowania agentów AI, która w wersjach od 4.14.10 do przed 4.14.13 ma podatność w komponencie agent-sandbox. Umożliwia ona nieautoryzowane zdalne wykonanie kodu (RCE) z powodu braku uwierzytelnienia.
Ocena ryzyka
Organizacja narażona jest na ryzyko pełnej kontroli nad środowiskiem sandbox przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji 4.14.13 lub nowszej, aby usunąć tę podatność oraz ograniczenie dostępu do portu 8080.
Oryginalny opis (angielski, źródło NVD)
FastGPT is an AI Agent building platform. From version 4.14.10 to before version 4.14.13, the agent-sandbox component of FastGPT is vulnerable to unauthenticated Remote Code Execution (RCE). The startup script entrypoint.sh initializes code-server with the --auth none flag and binds the service to all network interfaces (0.0.0.0:8080). This configuration allows any user with network access to the port to bypass authentication and gain full control over the sandbox environment. This issue has been patched in version 4.14.13.

