प्लेटफ़ॉर्म
redis
घटक
redis-server
में ठीक किया गया
4.14.10
CVE-2026-34163 एक सर्वर-साइड रिक्वेस्ट फोरेजरी (SSRF) भेद्यता है जो FastGPT के MCP (मॉडल कॉन्टेक्स्ट प्रोटोकॉल) टूल एंडपॉइंट्स में पाई गई है। यह भेद्यता हमलावरों को आंतरिक नेटवर्क संसाधनों तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है। यह भेद्यता FastGPT के संस्करण 4.14.9.5 से पहले के संस्करणों को प्रभावित करती है, और संस्करण 4.14.9.5 में इसे ठीक कर दिया गया है।
यह SSRF भेद्यता हमलावरों को FastGPT सर्वर से आंतरिक नेटवर्क संसाधनों तक पहुँचने की अनुमति देती है। हमलावर आंतरिक सेवाओं, डेटाबेस और अन्य संवेदनशील प्रणालियों को स्कैन कर सकते हैं। वे आंतरिक संसाधनों से डेटा निकाल सकते हैं या उन पर हमला कर सकते हैं। इस भेद्यता का उपयोग डेटा चोरी, सिस्टम समझौता और नेटवर्क पर आगे बढ़ने के लिए किया जा सकता है। MCP टूल एंडपॉइंट्स के माध्यम से अनधिकृत पहुँच के कारण, हमलावर संवेदनशील जानकारी उजागर कर सकते हैं या आंतरिक प्रणालियों को नियंत्रित कर सकते हैं।
CVE-2026-34163 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर की जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक नहीं देखा गया है, लेकिन SSRF भेद्यताओं का शोषण अक्सर किया जाता है। यह भेद्यता 2026-03-31 को प्रकाशित हुई थी।
Organizations deploying FastGPT for AI agent building, particularly those with internal services accessible from the application server, are at risk. Shared hosting environments where multiple users share the same FastGPT instance are also vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• linux / server:
journalctl -u fastgpt | grep -i "mcpTools"• generic web:
curl -I <fastgpt_url>/api/core/app/mcpTools/getTools?url=<internal_ip>• database (redis):
INFO serverReview the output for any unusual connections or requests originating from the MCP tools endpoints.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, FastGPT को संस्करण 4.14.9.5 या उच्चतर में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, MCP टूल एंडपॉइंट्स के लिए एक्सेस को प्रतिबंधित करने के लिए फ़ायरवॉल नियमों को लागू किया जा सकता है। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SSRF हमलों को ब्लॉक किया जा सकता है। सुनिश्चित करें कि isInternalAddress() फ़ंक्शन MCP टूल एंडपॉइंट्स में लागू किया गया है। अपग्रेड के बाद, यह सत्यापित करें कि MCP टूल एंडपॉइंट्स अब बाहरी URL को स्वीकार नहीं करते हैं और आंतरिक संसाधनों तक पहुँच को प्रतिबंधित करते हैं।
FastGPT को संस्करण 4.14.9.5 या उच्चतर में अपडेट करें। यह संस्करण MCP टूल एंडपॉइंट्स में SSRF भेद्यता को ठीक करता है। अपडेट हमलावरों को आंतरिक नेटवर्क का पता लगाने या आंतरिक सेवाओं तक पहुंचने से रोकेगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34163 FastGPT Redis सर्वर में एक SSRF भेद्यता है जो हमलावरों को आंतरिक नेटवर्क संसाधनों तक पहुँचने की अनुमति देती है।
यदि आप FastGPT के संस्करण 4.14.9.5 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
FastGPT को संस्करण 4.14.9.5 या उच्चतर में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो MCP टूल एंडपॉइंट्स के लिए एक्सेस को प्रतिबंधित करने के लिए फ़ायरवॉल नियमों को लागू करें।
हालांकि सार्वजनिक रूप से शोषण का कोई प्रमाण नहीं है, SSRF भेद्यताओं का शोषण अक्सर किया जाता है, इसलिए सतर्क रहना महत्वपूर्ण है।
FastGPT के आधिकारिक सलाहकार के लिए, कृपया FastGPT के आधिकारिक वेबसाइट या GitHub रिपॉजिटरी पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।