FastGPTはAIエージェント構築プラットフォームです。バージョン4.14.9.5より前、FastGPTのMCP (Model Context Protocol)ツールエンドポイント (/api/core/app/mcpTools/getToolsおよび/api/core/app/mcpTools/runTool) は、ユーザーが提供したURLパラメータを受け入れ、それが内部/プライベートネットワークアドレスを指しているかどうかを検証せずにサーバーサイドのHTTPリクエストを行います。アプリケーションには、SSRF保護のための専用のisInternalAddress()関数（HTTPワークフローノードなどの他のエンドポイントで使用されている）がありますが、MCPツールエンドポイントではこの関数が呼び出されません。認証された攻撃者は、これらのエンドポイントを使用して内部ネットワークをスキャンしたり、クラウドメタデータサービスにアクセスしたり、MongoDBやRedisなどの内部サービスとやり取りしたりすることができます。この問題はバージョン4.14.9.5で修正されています。

このSSRF脆弱性を悪用されると、攻撃者はFastGPTサーバーから内部ネットワーク上の機密情報にアクセスしたり、他の内部システムに攻撃を仕掛けたりする可能性があります。例えば、内部データベースや管理インターフェースへのアクセスを試み、認証情報を盗み出すことが考えられます。また、この脆弱性は、FastGPTサーバーを攻撃の足がかりとして利用し、内部ネットワーク全体への攻撃を拡大させる（lateral movement）可能性も秘めています。類似のSSRF脆弱性は、内部ネットワークへの不正アクセスや情報漏洩に繋がるリスクが高いため、早急な対応が必要です。

Organizations deploying FastGPT for AI agent building, particularly those with internal services accessible from the application server, are at risk. Shared hosting environments where multiple users share the same FastGPT instance are also vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.

• linux / server:

journalctl -u fastgpt | grep -i "mcpTools"

• generic web:

curl -I <fastgpt_url>/api/core/app/mcpTools/getTools?url=<internal_ip>

• database (redis):

INFO server

Review the output for any unusual connections or requests originating from the MCP tools endpoints.

1. 2026-03-31Disclosure

   disclosure

1. 予約済み2026-03-25
2. 公開日2026-03-31
3. 更新日2026-04-01
4. EPSS 更新日2026-04-08

この脆弱性への対応策として、まずFastGPTをバージョン4.14.9.5にアップデートすることを強く推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、MCPツールエンドポイントへのリクエストで、URLが内部ネットワークアドレスを指していないか検証するルールを実装してください。また、MCPツールエンドポイントへのアクセスを制限する設定変更も有効です。アップデート後、MCPツールエンドポイントに任意のURLを指定してリクエストを送信し、内部ネットワークへのアクセスが遮断されていることを確認してください。