Plateforme
nodejs
Composant
fastgpt
Corrigé dans
4.14.10
La vulnérabilité CVE-2026-34162 concerne une faille de type SSRF (Server-Side Request Forgery) découverte dans FastGPT, une plateforme de construction d'agents IA. Cette faille permet à un attaquant d'effectuer des requêtes HTTP arbitraires via le serveur, contournant les contrôles de sécurité. Elle affecte les versions de FastGPT antérieures à 4.14.9.5 et a été corrigée dans cette version.
L'impact de cette vulnérabilité est critique. Un attaquant peut exploiter l'endpoint /api/core/app/httpTools/runTool pour effectuer des requêtes HTTP vers n'importe quelle URL accessible par le serveur FastGPT. Cela peut permettre d'accéder à des ressources internes non exposées publiquement, telles que des bases de données, des fichiers de configuration ou d'autres services internes. L'attaquant peut également utiliser cette vulnérabilité pour lancer des attaques contre d'autres systèmes sur le réseau interne, en agissant comme un proxy. La capacité à manipuler les en-têtes et le corps des requêtes HTTP augmente encore le potentiel d'exploitation.
Cette vulnérabilité a été publiée le 2026-03-31. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme élevée en raison de la simplicité de l'exploitation et de l'absence d'authentification requise. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter d'éventuelles preuves d'exploitation.
Organizations deploying FastGPT in environments with internal services accessible via HTTP are at significant risk. This includes those using FastGPT for internal AI agent development or integration with other internal systems. Shared hosting environments where FastGPT is deployed alongside other applications are particularly vulnerable, as an attacker could potentially leverage the SSRF vulnerability to access resources belonging to other tenants.
• nodejs / server:
ps aux | grep fastgpt
journalctl -u fastgpt | grep '/api/core/app/httpTools/runTool'• generic web:
curl -I <fastgpt_server>/api/core/app/httpTools/runTool?baseUrl=http://localhost:8080
# Check for unexpected responses or internal resource accessdisclosure
Statut de l'Exploit
EPSS
0.15% (percentile 36%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour FastGPT vers la version 4.14.9.5 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de contournement, telles que la configuration d'un pare-feu applicatif web (WAF) pour bloquer les requêtes vers l'endpoint /api/core/app/httpTools/runTool ou pour limiter les domaines auxquels le serveur peut effectuer des requêtes. Il est également recommandé de restreindre l'accès à ce endpoint aux seuls utilisateurs autorisés. Après la mise à jour, vérifiez que l'endpoint est correctement protégé et qu'il n'est plus accessible sans authentification.
Mettez à jour FastGPT à la version 4.14.9.5 ou supérieure. Cette version corrige la vulnérabilité SSRF non authentifiée dans le point de terminaison /api/core/app/httpTools/runTool, qui permettait le vol de clés API internes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34162 is a critical SSRF vulnerability in FastGPT versions prior to 4.14.9.5, allowing attackers to make unauthorized HTTP requests through the platform.
You are affected if you are running FastGPT version 4.14.9.5 or earlier. Immediately assess your deployment and upgrade.
Upgrade FastGPT to version 4.14.9.5 or later. As a temporary workaround, implement a WAF to filter requests to the vulnerable endpoint.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest it is likely to be targeted.
Refer to the FastGPT project's official website or GitHub repository for the latest security advisories and release notes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.