Yupublished

**Nome do Software Vulnerável e Versões Afetadas** FastGPT versões anteriores a 4.14.17 **Descrição** Uma falha de Server-Side Request Forgery (SSRF) não autenticada permite que atacantes ou usuários autenticados com privilégios de edição de App enviem requisições HTTP arbitrárias para endereços de rede internos ou privados. A função `fetchData()` no nó de fluxo de trabalho lafModule utiliza o axios para buscar URLs controladas pelo usuário sem validá-las contra a guarda de lista de bloqueio de rede interna `isInternalAddress`, ignorando as proteções de SSRF. SSRF é uma falha onde um atacante pode forçar um aplicativo do lado do servidor a fazer requisições HTTP para um domínio arbitrário de escolha do atacante. **Recomendações** Atualizar para a versão 4.14.17.