Platform
nodejs
Component
fastgpt
Opgelost in
4.14.11
CVE-2026-40252 describes a Broken Access Control (IDOR/BOLA) vulnerability affecting FastGPT, an AI Agent building platform. This flaw allows authenticated team members to access and execute applications belonging to other teams, potentially exposing sensitive data and disrupting operations. The vulnerability impacts versions 0.0.0 up to and including 4.14.10.3, and a fix is available in version 4.14.10.4.
CVE-2026-40252 heeft invloed op FastGPT, een platform voor het bouwen van AI-agenten. Een Broken Access Control (IDOR/BOLA)-kwetsbaarheid stelt elke geauthenticeerde groep in staat om toegang te krijgen tot en applicaties van andere groepen uit te voeren door een externe 'appId' te verstrekken. Hoewel de API het team-token correct valideert, wordt niet geverifieerd of de aangevraagde applicatie tot de geauthenticeerde groep behoort. Dit leidt tot data-exposure tussen tenants en ongeautoriseerde uitvoering van private AI-workflows. De impact is aanzienlijk, aangezien een aanvaller de vertrouwelijkheid, integriteit en beschikbaarheid van data en applicaties van andere groepen binnen het FastGPT-platform kan compromitteren. De ernst van deze kwetsbaarheid vereist onmiddellijke aandacht om potentiële beveiligingsinbreuken en dataverlies te voorkomen.
Een aanvaller met geauthenticeerde toegang tot het FastGPT-platform kan deze kwetsbaarheid exploiteren. De aanvaller zou de 'appId' van een applicatie van een andere groep moeten kennen of raden. Zodra hij deze 'appId' heeft, kan hij toegang tot de applicatie en de uitvoering ervan aanvragen, waarbij de toegangscontroles worden omzeild. De authenticatie van de aanvaller is voldoende om de kwetsbaarheid te exploiteren, wat betekent dat er geen extra geprivilegieerde toegang vereist is. De eenvoud van exploitatie, gecombineerd met de potentiële impact op de vertrouwelijkheid en integriteit van data, maakt deze kwetsbaarheid tot een aanzienlijk probleem.
Organizations utilizing FastGPT for AI agent development and deployment, particularly those with multiple teams sharing a single FastGPT instance, are at risk. Shared hosting environments where multiple tenants share the same FastGPT deployment are especially vulnerable.
• nodejs / server:
grep -r 'appId' /path/to/fastgpt/source_code | grep -i 'team_token'• generic web:
curl -I 'https://your-fastgpt-instance.com/api/applications/<foreign_app_id>?team_token=<valid_team_token>' # Check for 200 OK when it shouldn't bedisclosure
Exploit Status
EPSS
0.06% (20% percentiel)
CISA SSVC
De oplossing voor CVE-2026-40252 is het upgraden van FastGPT naar versie 4.14.10.4 of hoger. Deze versie bevat een fix die de eigendom van de applicatie door de geauthenticeerde groep correct valideert, waardoor het risico op ongeautoriseerde toegang wordt verminderd. Alle FastGPT-gebruikers worden ten zeerste aangeraden om deze update zo snel mogelijk toe te passen. Controleer bovendien de beveiligingsconfiguraties van uw platform om ervoor te zorgen dat best practices voor beveiliging worden nageleefd, zoals rollen-gebaseerde toegangscontroles en continue monitoring van systeemactiviteit. De update is de meest kritieke preventieve maatregel om zich te beschermen tegen deze kwetsbaarheid.
Actualice FastGPT a la versión 4.14.10.4 o superior para mitigar la vulnerabilidad de control de acceso roto. Esta actualización corrige la falta de verificación de la pertenencia de la aplicación al equipo autenticado, previniendo el acceso no autorizado a aplicaciones y flujos de trabajo de IA privados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
IDOR (Indirect Object Reference) en BOLA (Broken Object Level Authorization) zijn soorten toegangscontrole kwetsbaarheden die gebruikers in staat stellen om toegang te krijgen tot objecten of data waarvoor ze geen toegang zouden moeten hebben.
Als u een versie van FastGPT gebruikt die vóór 4.14.10.4 is uitgebracht, bent u waarschijnlijk getroffen. Controleer uw huidige versie en update deze onmiddellijk.
Controleer de auditlogboeken op verdachte activiteiten. Zorg ervoor dat alle gebruikers de minimale vereiste rechten hebben en overweeg een uitgebreid beveiligingsaudit uit te voeren.
Als u niet onmiddellijk kunt updaten, implementeer dan extra toegangscontroles op applicatieniveau om de toegang tot applicaties van andere groepen te beperken.
Raadpleeg de officiële FastGPT-documentatie en branchebronnen voor beveiliging voor meer informatie over deze kwetsbaarheid en hoe u uzelf kunt beschermen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.