Jinyimeng01

**Nome do Software Vulnerável e Versões Afetadas** FastGPT versões 4.14.10 a 4.14.12 **Descrição** O componente agent-sandbox permite a Execução Remota de Código (RCE) não autenticada, que é a capacidade de executar comandos arbitrários em uma máquina remota. O script de inicialização `entrypoint.sh` inicializa o code-server com a flag `--auth none` e vincula o serviço a todas as interfaces de rede em '0.0.0.0:8080'. Esta configuração permite que qualquer usuário com acesso de rede à porta ignore a autenticação e obtenha controle total sobre o ambiente de sandbox. **Recomendações** Atualizar para a versão 4.14.13.

**Nome do Software Vulnerável e Versões Afetadas** FastGPT versões anteriores a 4.14.13 **Descrição** O componente code-sandbox na plataforma de construção de Agentes de IA apresenta isolamento de recursos insuficiente e consumo de recursos descontrolado. O serviço utiliza um limite suave em nível de aplicação com um intervalo de sondagem de 500ms para a gestão de memória, mas carece de restrições em nível de SO, como cgroups (grupos de controle que limitam, contabilizam e isolam o uso de recursos) ou namespaces em nível de kernel. Isso permite que atacantes ignorem as verificações de memória usando ataques de janela de tempo ou esgotem o pool de trabalhadores JavaScript por meio de requisições simultâneas com uso intensivo de CPU, resultando em uma Negação de Serviço (DoS). **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.