漏洞总结 漏洞概述 FastGPT 存在一个未认证的远程代码执行(RCE)漏洞,攻击者可以通过 组件利用该漏洞在目标服务器上执行任意命令。 影响范围 受影响版本:v4.14.18 至 v4.14.13 受影响组件: 沙箱环境 漏洞类型:未认证 RCE(Remote Code Execution) 修复方案 1. 禁用 code-server:通过环境变量 设置为 来禁用 code-server 功能 2. 网络隔离:限制 code-server 仅允许来自 127.0.0.1 的访问,防止外部攻击者访问 3. 移除密码保护:移除 code-server 的密码保护机制,减少攻击面 4. 安全配置: - 禁用遥测功能 - 禁用更新检查 - 禁用工作区信任 - 绑定地址限制为 0.0.0.0:8080 POC/利用代码 代码变更摘要 修改了 中的端口配置 更新了 脚本,添加了安全启动参数 增强了 中的代理逻辑,增加了会话管理和安全验证 优化了 的内部 API 调用 改进了 中的会话管理逻辑