FastGPT — это платформа, основанная на знаниях, созданная на основе LLM. Поскольку подключаемый модуль сканирования веб-страниц не выполняет проверку IP-адреса в интрасети, злоумышленник может инициировать IP-запрос в интрасети, в результате чего система инициирует запрос через интрасеть и потенциально получает некоторые частные данные в интрасети. Эта проблема исправлена в версии 4.9.0.
Показать оригинальное описание (EN)
FastGPT is a knowledge-based platform built on the LLMs. Since the web crawling plug-in does not perform intranet IP verification, an attacker can initiate an intranet IP request, causing the system to initiate a request through the intranet and potentially obtain some private data on the intranet. This issue is fixed in 4.9.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Fastgpt Fastgpt
cpe:2.3:a:fastgpt:fastgpt:*:*:*:*:*:*:*:*
|
— |
4.9.0
|