← Retour
CVE-2026-44285
high
CVSS 7.7
FastGPT is an AI Agent building platform. Prior to 4.15.0-beta1, a Server-Side Request Forgery (SSRF) vulnerability allows an authenticated attacker to bypass the global isInternalAddress network prot...
Résumé
FastGPT is an AI Agent building platform. Prior to 4.15.0-beta1, a Server-Side Request Forgery (SSRF) vulnerability allows an authenticated attacker to bypass the global isInternalAddress network protection and make arbitrary HTTP GET requests to internal network services. This is achieved by exploi...
Résumé IA openai / gpt-4o
Une vulnérabilité référencée **CVE-2026-44285** a été découverte dans ssrf.
Des attaquants peuvent cibler un point d'entrée spécifique comme ``externalFile`` à distance pour détourner le produit.
Des informations confidentielles peuvent être exposées. Score CVSS : 7.7/10.
Action : mettez à jour ssrf vers **4.15.0-beta1** ou supérieur.
En cas de doute, contactez votre service informatique ou cherchez « ssrf CVE-2026-44285 » sur le site de l'éditeur.
CVE-2026-44285 (ssrf) — CWE-918 / CVSS v3 7.7
Vecteur d'attaque : distant (réseau) / sans interaction utilisateur
Surface d'attaque : `externalFile` / `isInternalAddress` / `urlsFetch` / `readFileRawTextByUrl`
Versions affectées : `<= 4.15.0-beta1`
Correctif : `4.15.0-beta1` — appliquer immédiatement
Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs.
Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.
❓ Quel est le problème
認証された攻撃者によるSSRF脆弱性の悪用
📍 Périmètre concerné
FastGPT 4.15.0-beta1未満のバージョン
🔥 Gravité
攻撃者が内部ネットワークサービスに不正アクセスできるため、重要度が高い
🔧 Comment corriger
FastGPTをバージョン4.15.0-beta1にアップデートする
🛡️ Contournement
情報なし
🔍 Détection
FastGPTのバージョンを確認し、4.15.0-beta1未満であれば脆弱性の影響を受ける可能性