C121914Yu

**Nome do Software Vulnerável e Versões Afetadas** FastGPT versões anteriores a 4.15.0-beta1 **Description** Um invasor autenticado pode ignorar a proteção de rede global `isInternalAddress` para fazer requisições HTTP GET arbitrárias para serviços de rede interna. Isso ocorre devido a uma correção incompleta no endpoint de visualização de conjunto de dados "/api/core/dataset/file/getPreviewChunks" ao utilizar o tipo de importação de dados `externalFile`. Trata-se de um Server-Side Request Forgery (SSRF), que é uma falha que permite a um invasor induzir a aplicação do lado do servidor a fazer requisições para um local não pretendido. **Recommendations** Atualize para a versão 4.15.0-beta1.

Nome do Software Vulnerável e Versões Afetadas: Versões do FastGPT anteriores à 4.9.12 Descrição: O problema refere-se ao parâmetro LastRoute na página de login, que é vulnerável a redirecionamento aberto e XSS baseado em DOM devido à validação inadequada e falta de sanitização. Isso permite que atacantes executem JavaScript malicioso ou redirecionem usuários para sites controlados por atacantes. Recomendações: Para versões anteriores à 4.9.12, atualize para a versão 4.9.12 para resolver o problema. Como medida temporária, considere restringir o acesso ao parâmetro LastRoute na página de login para minimizar o risco de exploração. Evite utilizar o parâmetro `LastRoute` na página de login afetada até que o problema seja resolvido.