CVE-2026-34162

Nome do Software Vulnerável e Versões Afetadas FastGPT versões anteriores a 4.14.9.5

Descrição FastGPT é uma plataforma de construção de Agentes de IA. O endpoint de teste de ferramentas HTTP ('/api/core/app/httpTools/runTool') estava exposto sem autenticação em versões anteriores a 4.14.9.5. Este endpoint funciona como um proxy HTTP completo, aceitando um baseUrl, toolPath, método HTTP, cabeçalhos personalizados e corpo fornecidos pelo usuário, e então faz uma solicitação HTTP do lado do servidor e retorna a resposta completa. Isso permite que um invasor não autenticado potencialmente exfiltre tokens de API, acesse serviços internos e envie solicitações HTTP arbitrárias. Esta questão possibilita uma condição de Server-Side Request Forgery (SSRF), podendo levar à Remote Code Execution (RCE).

Recomendações Atualize o FastGPT para a versão 4.14.9.5 ou posterior.