CVE-2026-42345

Nome do Software Vulnerável e Versões Afetadas FastGPT versões anteriores a 4.14.11

Descrição A função isInternalAddress() em packages/service/common/system/utils.ts não bloqueia adequadamente os endpoints de metadados da nuvem. A função utiliza uma verificação fullUrl.startsWith() contra uma lista predefinida que pode ser burlada usando várias técnicas de codificação de URL. Além disso, as verificações de IP privado (isInternalIPv4 e isInternalIPv6) estão desativadas por padrão porque a variável CHECK INTERNAL IP tem o valor padrão false, permitindo que solicitações burladas alcancem os endpoints de metadados sem validação adicional.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.