CVE-2026-44286

Nome do Software Vulnerável e Versões Afetadas FastGPT versões anteriores a 4.14.17

Descrição Uma falha de Server-Side Request Forgery (SSRF) não autenticada permite que atacantes ou usuários autenticados com privilégios de edição de App enviem requisições HTTP arbitrárias para endereços de rede internos ou privados. A função fetchData() no nó de fluxo de trabalho lafModule utiliza o axios para buscar URLs controladas pelo usuário sem validá-las contra a guarda de lista de bloqueio de rede interna isInternalAddress, ignorando as proteções de SSRF. SSRF é uma falha onde um atacante pode forçar um aplicativo do lado do servidor a fazer requisições HTTP para um domínio arbitrário de escolha do atacante.

Recomendações Atualizar para a versão 4.14.17.