FastGPT Sandbox Escape to RCE via Regex Bypass (CVE-2025-42287)

漏洞概述 漏洞名称: sandbox escape to RCE - code-sandbox regex is bypassable CVE ID: CVE-2025-42287 CVSS v3 base metrics: Attack vector: Network Attack complexity: Low Privileges required: Low User interaction: None Scope: Unchanged Confidentiality: Low Integrity: Low Availability: Low 描述: JavaScript 沙箱工作器在 使用正则表达式 阻止动态 。然而，该正则表达式仅匹配 ASCII 空白字符，而字节 （空格）不在 字符类中。因此， 被解析为有效的动态导入，但未被正则表达式检测到。由于 未被 代理包装（仅包装 ），攻击者可以加载 并调用 执行任意命令。 影响范围 受影响版本: 修复版本: 影响: 谁受影响: - 沙箱镜像独立部署（开发、本地部署、自定义 Docker 镜像，未设置 ）- 完全未认证的 端点，CVSS 评分升至 9.4 Critical。 - 遵循 FastGPT 官方 Docker Compose 部署的生产环境 - 如果 已设置，则绕过需要额外权限（通过 OR 达到受认证的 FastGPT 工作流角色）。 影响内容: - 任意命令执行（ 在沙箱容器内）。容器有 seccomp 和用户限制，但： - 网络出口： 已在白名单中，因此网络不受限。 - 所有环境变量传递给沙箱进程，包括上游 LLM 凭据或任何 FastGPT 后端密钥。 - 沙箱的 目录可写，共享并发工作流执行。 - 并发租户观察：沙箱进程运行 20 个工作者，共享相同进程环境和 。攻击者可以放置文件并读取 观察其他租户的工作流状态。 修复方案 建议修复: 1. 使用 AST 解析器替换正则表达式。使用 或 （已在 FastGPT 依赖图中）解析提交的代码并拒绝任何 节点。 2. 包装 （或替换 Bun 的动态导入钩子）与 相同的允许列表，以便 和 受相同的模块策略约束。 3. 如果 为空，则在非开发模式下启动（例如，需要显式 以选择加入未认证）。当前的警告日志方法依赖于操作员阅读日志。 PoC 代码: 验证: 验证版本：v4.14.14（2024-04-24 发布，发布当天）和当前 。 所有四个引用 CVE（2025-49131、2026-32128、2026-33075、2026-34162）在发布时验证。

目標達成すべての支援者に感謝 — 100%達成しました！

FastGPT Sandbox Escape to RCE via Regex Bypass (CVE-2025-42287)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

FastGPT Sandbox Escape to RCE via Regex Bypass (CVE-2025-42287)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！