FastGPT é uma plataforma de construção de agentes de IA. Anteriormente à versão 4.14.9.5, os endpoints das ferramentas MCP (Model Context Protocol) do FastGPT (/api/core/app/mcpTools/getTools e /api/core/app/mcpTools/runTool) aceitam um parâmetro URL fornecido pelo usuário e fazem requisições HTTP do lado do servidor para ele sem validar se o URL aponta para um endereço de rede interna/privada. Embora a aplicação tenha uma função dedicada isInternalAddress() para proteção contra SSRF (usada em outros endpoints como o nó de fluxo de trabalho HTTP), os endpoints das ferramentas MCP não chamam esta função. Um atacante autenticado pode usar estes endpoints para escanear redes internas, acessar serviços de metadados de nuvem e interagir com serviços internos como MongoDB e Redis. Este problema foi corrigido na versão 4.14.9.5.

Um atacante explorando essa vulnerabilidade pode realizar requisições HTTP para qualquer URL especificada, potencialmente acessando recursos internos e confidenciais que não deveriam ser acessíveis externamente. Isso pode incluir a leitura de arquivos sensíveis, a interação com outros serviços internos ou até mesmo a execução de comandos em sistemas vulneráveis, dependendo das permissões do usuário FastGPT. A ausência de validação de URLs internas permite que o atacante contorne as proteções de SSRF existentes no aplicativo, ampliando o escopo do ataque. O impacto potencial é alto, especialmente em ambientes onde o FastGPT interage com outros serviços internos.

Organizations deploying FastGPT for AI agent building, particularly those with internal services accessible from the application server, are at risk. Shared hosting environments where multiple users share the same FastGPT instance are also vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.

• linux / server:

journalctl -u fastgpt | grep -i "mcpTools"

• generic web:

curl -I <fastgpt_url>/api/core/app/mcpTools/getTools?url=<internal_ip>

• database (redis):

INFO server

Review the output for any unusual connections or requests originating from the MCP tools endpoints.

1. 2026-03-31Disclosure

   disclosure

1. Reservado2026-03-25
2. Publicada2026-03-31
3. Modificada2026-04-01
4. EPSS atualizado2026-04-08

A mitigação primária para CVE-2026-34163 é atualizar o FastGPT para a versão 4.14.9.5 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar regras de firewall ou proxy para bloquear requisições HTTP para URLs internas a partir dos endpoints vulneráveis. Monitore os logs de acesso e erro do FastGPT em busca de atividades suspeitas, como requisições para URLs internas inesperadas. Implementar um WAF (Web Application Firewall) com regras específicas para detectar e bloquear tentativas de SSRF também pode ajudar a mitigar o risco. Após a atualização, confirme a correção verificando se a função isInternalAddress() é corretamente chamada nos endpoints MCP Tools.