CVE-2026-42344

Nome do Software Vulnerável e Versões Afetadas FastGPT versões anteriores a 4.14.12

Descrição A função isInternalAddress() em packages/service/common/system/utils.ts é suscetível ao DNS rebinding, um problema de Time-of-Check to Time-of-Use (TOCTOU). A função valida um nome de host resolvendo-o via dns.resolve4() ou dns.resolve6() para garantir que o IP não esteja em uma faixa privada. No entanto, como a requisição HTTP subsequente dispara uma resolução de DNS separada, um invasor pode alterar o registro de DNS entre a etapa de validação e a busca real, potencialmente ignorando restrições de rede interna.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.