CVE-2026-42343— FastGPT 资源管理错误漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-42343の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
FastGPT: Uncontrolled Resource Consumption leading to Sandbox Exhaustion
ソース: NVD (National Vulnerability Database)
脆弱性説明
FastGPT is an AI Agent building platform. In versions 4.14.13 and prior, the code-sandbox component suffers from insufficient resource isolation and uncontrolled resource consumption. The service relies solely on an application-level soft limit (a 500ms polling interval) for memory management and lacks strict OS-level constraints such as cgroups or kernel-level namespaces. This architectural weakness allows attackers to easily bypass memory checks via time-window attacks, or exhaust the entire JavaScript worker pool via concurrent CPU-intensive requests, resulting in a complete Denial of Service (DoS) for legitimate users. At time of publication, there are no publicly available patches.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
未加控制的资源消耗(资源穷尽)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
FastGPT 资源管理错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
FastGPT是labring开源的一款基于大语言模型的开源知识库问答系统。 FastGPT 4.14.13及之前版本存在资源管理错误漏洞,该漏洞源于code-sandbox组件资源隔离不足和资源消耗不受控制,可能导致攻击者绕过内存检查或耗尽JavaScript工作线程池。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-42343の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-42343のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · labring · 2026-05-08 · 6 CVEs total
| CVE-2026-42302 | 9.8 CRITICAL | FastGPT: Unauthenticated Remote Code Execution (RCE) via code-server Misconfiguration in a |
| CVE-2026-42345 | 7.7 HIGH | FastGPT: Cloud metadata endpoint SSRF protection bypass via port specification, IPv6 mappi |
| CVE-2026-42344 | 6.3 MEDIUM | FastGPT: DNS rebinding TOCTOU bypass in isInternalAddress allows SSRF on all protected end |
| CVE-2026-44284 | 6.3 MEDIUM | FastGPT: Stored MCP tool URL SSRF in FastGPT workflow execution |
| CVE-2026-44286 | FastGPT: SSRF Vulnerability in Laf Workflow Node via Missing Internal Address Validation |
IV. 関連脆弱性
同じ製品: FastGPT
- CVE-2026-44286
FastGPT: SSRF Vulnerability in Laf Workflow Node via Missing - CVE-2026-44284
FastGPT: Stored MCP tool URL SSRF in FastGPT workflow execut - CVE-2026-42345
FastGPT: Cloud metadata endpoint SSRF protection bypass via - CVE-2026-42344
FastGPT: DNS rebinding TOCTOU bypass in isInternalAddress al - CVE-2026-42302
FastGPT: Unauthenticated Remote Code Execution (RCE) via cod
同じベンダー: labring
- CVE-2026-44286
FastGPT: SSRF Vulnerability in Laf Workflow Node via Missing - CVE-2026-44284
FastGPT: Stored MCP tool URL SSRF in FastGPT workflow execut - CVE-2026-42345
FastGPT: Cloud metadata endpoint SSRF protection bypass via - CVE-2026-42344
FastGPT: DNS rebinding TOCTOU bypass in isInternalAddress al - CVE-2026-42302
FastGPT: Unauthenticated Remote Code Execution (RCE) via cod
同じ弱点: CWE-400
- CVE-2026-8187
Open5GS UPF gtp-path.c _gtpv1_u_recv_cb resource consumption - CVE-2026-42212
SolidCAM-GPPL-IDE: XML External Entity (XXE) and billion-lau - CVE-2026-32686
Unbounded exponent in decimal enables unauthenticated DoS - CVE-2026-20188
Cisco Crosswork Network Controller and Cisco Network Service - CVE-2026-32936
CoreDNS DoH GET path missing size validation causes CPU and
V. CVE-2026-42343へのコメント
まだコメントはありません