一、 漏洞 CVE-2025-49131 基础信息
漏洞信息
# FastGPT 沙盒存在绕过漏洞
## 漏洞概述
FastGPT的Sandbox容器(fastgpt-sandbox)在版本4.9.11之前存在隔离不足和代码执行限制不充分的问题,允许过于宽松的系统调用,从而导致攻击者能够逃逸沙箱边界。
## 影响版本
- 版本 4.9.11 之前
## 漏洞细节
Sandbox容器在4.9.11版本之前允许过度宽松的系统调用(syscalls),导致以下问题:
- 攻击者可以读取和覆盖任意文件
- 能够绕过Python模块导入限制
## 影响
攻击者可以逃逸沙箱边界并进行恶意操作,包括读取和更改文件内容以及绕过模块导入限制。这些问题在版本4.9.11中通过限制允许的系统调用至更安全的子集并添加详细的错误消息得以解决。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞涉及到FastGPT的Sandbox容器,该容器用于安全地执行用户提交或动态生成的代码。由于版本4.9.11之前的Sandbox容器隔离不足和代码执行限制不当,允许过于宽松的系统调用,导致攻击者可以逃离预定的沙箱边界,读取和写入任意文件,以及绕过Python模块导入限制。这种类型的漏洞直接关系到Web服务的后端安全性,因为它涉及到运行在服务器上的代码执行环境的安全性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
FastGPT Sandbox Vulnerable to Sandbox Bypass
来源:美国国家漏洞数据库 NVD
漏洞描述信息
FastGPT is an open-source project that provides a platform for building, deploying, and operating AI-driven workflows and conversational agents. The Sandbox container (fastgpt-sandbox) is a specialized, isolated environment used by FastGPT to safely execute user-submitted or dynamically generated code in isolation. The sandbox before version 4.9.11 has insufficient isolation and inadequate restrictions on code execution by allowing overly permissive syscalls, which allows attackers to escape the intended sandbox boundaries. Attackers could exploit this to read and overwrite arbitrary files and bypass Python module import restrictions. This is patched in version 4.9.11 by restricting the allowed system calls to a safer subset and additional descriptive error messaging.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
关键资源的不正确权限授予
来源:美国国家漏洞数据库 NVD
漏洞标题
FastGPT 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
FastGPT是labring开源的一款基于大语言模型的开源知识库问答系统。 FastGPT 4.9.11之前版本存在安全漏洞,该漏洞源于沙箱隔离不足,可能导致文件读取和写入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-49131 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/Wenura17125/cve-2025-49131-poc | POC详情 |
三、漏洞 CVE-2025-49131 的情报信息
标题: update python sandbox for safe by gggaaallleee · Pull Request #4958 · labring/FastGPT · GitHub -- 🔗来源链接
标签:x_refsource_MISC
神龙速读:### 关键信息 - **Pull Request标题**: update python sandbox for safe #4958 - **状态**: 已合并 (Merged) - **提交者**: ggaa11lee - **标签**: size/M - **评论**: - cla-assistant: 提醒需要签署贡献者许可协议 (CLA)。 - gru-agent: 测试任务分配,显示没有文件需要测试。 - github-actions: 预览了多个镜像(mcp_server、sandbox、fastgpt)。 - **安全相关**: - 拉取请求的标题和描述中提到“safe”,可能涉及安全更新或修复。 - cla-assistant 的评论强调了贡献者的身份验证和 CLA 签署,这是开源项目中常见的安全措施。 - **其他**: - 无审查人和指派人。 - 无项目和里程碑关联。 - 成功合并此拉取请求可能会关闭一些问题。
标题: Release V4.9.11 · labring/FastGPT · GitHub -- 🔗来源链接
标签:x_refsource_MISC
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: - **修复内容**: - 工作流节点新增了全局系统工具,无法进行版本管理的问题得到了修复。[@newfish-cmyk](#) - 工具切面节点,在交互节点时,上下文丢失的问题得到了修复。[@c121914yu](#) - 恢复脚本输入,小于1000字节,无乱码分词问题。[@c121914yu](#) - 自定义PDF解析,无法正常base64编码的问题得到了修复。[@c121914yu](#) - 非流程类:未执行CITE标签校验的问题得到了修复。[@c121914yu](#) - Python沙盒存在绕过风险的漏洞得到了修复。[@HappyHacking-K](#),[@gggaaaalllleee](#) - curl注入命令冲突默认认证的问题得到了修复。[@newfish-cmyk](#) 这些修复内容表明在V4.9.11版本中,针对多个潜在的安全漏洞和功能缺陷进行了修正,提升了系统的稳定性和安全性。
标题: Package fastgpt-sandbox · GitHub -- 🔗来源链接
标签:x_refsource_MISC
神龙速读:从这个网页截图中可以获取到以下关于漏洞的关键信息: - **项目名称和版本**:`fastgpt-sandbox v4.9.11` - **安全标签**:页面顶部显示有2个安全相关的问题,表明该项目可能存在已知的安全漏洞或问题。 - **最近的发布版本**: - `v4.9.11`(最新版本),发布于1天前。 - `v4.9.11-alpha`,发布于3天前。 - `v4.9.10-fix2`,发布于12天前。 - `v4.9.10-fix`,发布于14天前。 - `v4.9.10`,发布于14天前。 这些信息可以帮助识别是否有针对特定版本的安全更新或修复。
标题: python sandbox bypass · Advisory · labring/FastGPT · GitHub -- 🔗来源链接
标签:x_refsource_CONFIRM
神龙速读:### 关键漏洞信息 #### 漏洞描述 - **漏洞类型**: Python沙箱绕过 - **受影响版本**: <4.9.11 - **修复版本**: 4.9.11 - **严重性**: 中等 (6.3/10) #### 漏洞详情 - **CVE ID**: CVE-2025-49131 - **CVSS v3 基本指标**: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 低 - 用户交互: 无 - 范围: 不变 - 机密性影响: 低 - 完整性影响: 低 - 可用性影响: 低 #### 漏洞利用方式 1. **任意文件读取** - 利用 `syscalls.SYS_READ` 和 `syscalls.SYS_EXECVE` 实现文件读取和进程执行。 - 示例代码: ```python def main(): file = open('/etc/passwd').read() return {"content": file} ``` 2. **任意文件覆盖(拒绝服务)** - 向任意目录写入任意后缀文件,导致系统文件被覆盖,沙箱系统不可用。 - 示例代码: ```python def main(): with open('/etc/1.py', 'w') as f: f.write('test') return {"content": "file"} ``` 3. **导入任意模块** - 绕过静态模块名匹配关键字限制,动态导入任意模块。 - 示例代码: ```python ctypes = __import__('ctypes') os = __import__('os') ``` #### 报告者与发现者 - **报告者**: happyhacking-k - **发现者**: JQianWu, DAlisme666
标题: update python sandbox for safe (#4958) · labring/FastGPT@bb810a4 · GitHub -- 🔗来源链接
标签:x_refsource_MISC
神龙速读:### 关键漏洞信息 1. **系统调用限制更新** - **更改内容**: 更新了允许的系统调用列表,移除了多个系统调用(如 `SYS_EXECVE`, `SYS_CLONE`, `SYS_EXIT`, 等),并添加了一些新的系统调用(如 `SYS_NEWSTAT`, `SYS_LSEEK`, `SYS_GETMNTINFO`, 等)。 - **潜在风险**: 这些更改可能影响沙盒的安全性。移除某些系统调用可能会减少攻击面,但添加新的系统调用可能会引入新的安全风险。 2. **错误处理增强** - **更改内容**: 在执行 Python 代码时,增加了对 `subprocess.TimeoutExpired` 异常的处理,并在返回错误信息中加入了“blocked by system security policy”的提示。 - **潜在风险**: 这种增强可以更好地识别和处理超时错误,但也可能暴露系统的安全策略细节,给攻击者提供更多信息。 3. **权限管理** - **更改内容**: 代码中涉及对系统调用的严格控制,表明该沙盒环境对权限有较高要求。 - **潜在风险**: 如果权限管理不当,可能导致权限提升或绕过安全限制。 4. **代码执行环境** - **更改内容**: 使用 `eval` 和 `subprocess` 执行 Python 代码,这通常被认为是不安全的做法。 - **潜在风险**: 如果输入未经过充分验证和清理,可能会导致代码注入等安全问题。 ### 总结 此次提交主要涉及系统调用限制的更新和错误处理的增强,这些更改可能会影响沙盒的安全性和稳定性。特别是对系统调用的控制和代码执行环境的管理需要特别注意,以防止潜在的安全漏洞。
- https://nvd.nist.gov/vuln/detail/CVE-2025-49131
四、漏洞 CVE-2025-49131 的评论
匿名用户
2026-01-15 06:09:01Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.