प्लेटफ़ॉर्म
nodejs
घटक
fastgpt
में ठीक किया गया
4.14.11
FastGPT एक AI एजेंट निर्माण प्लेटफॉर्म है। संस्करण 4.14.10.4 से पहले, एक एक्सेस कंट्रोल भेद्यता (IDOR/BOLA) मौजूद थी, जो किसी भी प्रमाणित टीम को अन्य टीमों के एप्लिकेशन तक पहुंचने और उन्हें निष्पादित करने की अनुमति देती थी। यह क्रॉस-टेंटेंट डेटा एक्सपोजर और निजी AI वर्कफ़्लो के अनाधिकृत निष्पादन का कारण बन सकता है। यह भेद्यता संस्करण 4.14.10.4 में ठीक की गई है।
CVE-2026-40252 FastGPT को प्रभावित करता है, जो एक AI एजेंट निर्माण प्लेटफॉर्म है। Broken Access Control (IDOR/BOLA) भेद्यता किसी भी प्रमाणित टीम को बाहरी 'appId' प्रदान करके अन्य टीमों के स्वामित्व वाले एप्लिकेशन तक पहुंचने और उन्हें निष्पादित करने की अनुमति देती है। हालांकि API टीम टोकन को सही ढंग से मान्य करता है, लेकिन यह सत्यापित नहीं करता है कि अनुरोधित एप्लिकेशन प्रमाणित टीम से संबंधित है। इससे क्रॉस-टेनेंट डेटा एक्सपोजर और निजी AI वर्कफ़्लो का अनधिकृत निष्पादन हो सकता है। प्रभाव महत्वपूर्ण है क्योंकि एक हमलावर FastGPT प्लेटफॉर्म के भीतर अन्य टीमों के डेटा और एप्लिकेशन की गोपनीयता, अखंडता और उपलब्धता को खतरे में डाल सकता है। इस भेद्यता की गंभीरता संभावित सुरक्षा उल्लंघनों और डेटा हानि को रोकने के लिए तत्काल ध्यान देने की आवश्यकता है।
FastGPT प्लेटफॉर्म तक प्रमाणित पहुंच रखने वाला एक हमलावर इस भेद्यता का फायदा उठा सकता है। हमलावर को किसी अन्य टीम के स्वामित्व वाले एप्लिकेशन के 'appId' को जानने या अनुमान लगाने की आवश्यकता होगी। एक बार जब उसके पास यह 'appId' हो जाता है, तो वह एप्लिकेशन तक पहुंच और निष्पादन का अनुरोध कर सकता है, जिससे एक्सेस नियंत्रण जांच को दरकिनार कर दिया जाता है। हमलावर का प्रमाणीकरण भेद्यता का फायदा उठाने के लिए पर्याप्त है, जिसका अर्थ है कि कोई अतिरिक्त विशेषाधिकार प्राप्त पहुंच की आवश्यकता नहीं है। शोषण में आसानी, डेटा की गोपनीयता और अखंडता पर संभावित प्रभाव को देखते हुए, यह भेद्यता एक महत्वपूर्ण चिंता का विषय है।
Organizations utilizing FastGPT for AI agent development and deployment, particularly those with multiple teams sharing a single FastGPT instance, are at risk. Shared hosting environments where multiple tenants share the same FastGPT deployment are especially vulnerable.
• nodejs / server:
grep -r 'appId' /path/to/fastgpt/source_code | grep -i 'team_token'• generic web:
curl -I 'https://your-fastgpt-instance.com/api/applications/<foreign_app_id>?team_token=<valid_team_token>' # Check for 200 OK when it shouldn't bedisclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (20% शतमक)
CISA SSVC
CVE-2026-40252 का समाधान FastGPT को संस्करण 4.14.10.4 या उच्चतर में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो प्रमाणित टीम द्वारा एप्लिकेशन स्वामित्व को सही ढंग से मान्य करता है, जिससे अनधिकृत पहुंच का जोखिम कम हो जाता है। सभी FastGPT उपयोगकर्ताओं को जल्द से जल्द इस अपडेट को लागू करने की दृढ़ता से सलाह दी जाती है। इसके अतिरिक्त, भूमिका-आधारित पहुंच नियंत्रण और सिस्टम गतिविधि की निरंतर निगरानी जैसे सर्वोत्तम सुरक्षा प्रथाओं का पालन सुनिश्चित करने के लिए अपने प्लेटफॉर्म के सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें। यह अपडेट इस भेद्यता से खुद को बचाने के लिए सबसे महत्वपूर्ण निवारक उपाय है।
Actualice FastGPT a la versión 4.14.10.4 o superior para mitigar la vulnerabilidad de control de acceso roto. Esta actualización corrige la falta de verificación de la pertenencia de la aplicación al equipo autenticado, previniendo el acceso no autorizado a aplicaciones y flujos de trabajo de IA privados.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
IDOR (Indirect Object Reference) और BOLA (Broken Object Level Authorization) एक्सेस कंट्रोल भेद्यताओं के प्रकार हैं जो उपयोगकर्ताओं को उन ऑब्जेक्ट या डेटा तक पहुंचने की अनुमति देते हैं जिन्हें उन्हें देखने या संशोधित करने की अनुमति नहीं होनी चाहिए।
यदि आप FastGPT के 4.14.10.4 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं। अपने वर्तमान संस्करण की जांच करें और तुरंत अपडेट करें।
संदिग्ध गतिविधि के लिए ऑडिट लॉग की जांच करें। सुनिश्चित करें कि सभी उपयोगकर्ताओं के पास न्यूनतम आवश्यक अनुमतियां हैं और व्यापक सुरक्षा ऑडिट करने पर विचार करें।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अन्य टीमों के एप्लिकेशन तक पहुंच को प्रतिबंधित करने के लिए एप्लिकेशन स्तर पर अतिरिक्त एक्सेस नियंत्रण लागू करें।
इस भेद्यता और खुद को कैसे सुरक्षित रखें, इस बारे में अधिक जानकारी के लिए FastGPT के आधिकारिक दस्तावेज़ और उद्योग सुरक्षा स्रोतों से परामर्श करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।