CVE-2026-42302— FastGPT 代码服务器配置错误导致远程代码执行漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-42302 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
FastGPT: Unauthenticated Remote Code Execution (RCE) via code-server Misconfiguration in agent-sandbox
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
FastGPT is an AI Agent building platform. From version 4.14.10 to before version 4.14.13, the agent-sandbox component of FastGPT is vulnerable to unauthenticated Remote Code Execution (RCE). The startup script entrypoint.sh initializes code-server with the --auth none flag and binds the service to all network interfaces (0.0.0.0:8080). This configuration allows any user with network access to the port to bypass authentication and gain full control over the sandbox environment. This issue has been patched in version 4.14.13.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
关键功能的认证机制缺失
来源: 美国国家漏洞数据库 NVD
受影响产品
二、漏洞 CVE-2026-42302 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-42302 的情报信息
Please 登录 to view more intelligence information
- Release v4.14.13 · labring/FastGPT · GitHubx_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2026-42302
同批安全公告 · labring · 2026-05-08 · 共 6 条
| CVE-2026-42345 | 7.7 HIGH | FastGPT Cloud元数据端点SSRF绕过漏洞 |
| CVE-2026-42344 | 6.3 MEDIUM | FastGPT isInternalAddress TOCTOU绕过致全端点SSRF |
| CVE-2026-44284 | 6.3 MEDIUM | FastGPT 工作流中存储的MCP工具URL SSRF漏洞 |
| CVE-2026-42343 | FastGPT 资源消耗失控导致沙箱耗尽漏洞 | |
| CVE-2026-44286 | FastGPT Laf工作节点SSRF漏洞 |
IV. Related Vulnerabilities
V. Comments for CVE-2026-42302
暂无评论