CRITICAL🇬🇧 English

CVE-2026-33075

FastGPT: RCE i eksfiltracja sekretów przez złośliwy Dockerfile w workflow CI/CD

CVSS 9.4v4.0pub. 2026-03-20upd. 2026-03-23

FastGPT w wersjach 4.14.8.3 i wcześniejszych jest podatny na wykonanie dowolnego kodu oraz eksfiltrację sekretów repozytorium przez zewnętrznych kontrybutorów. Podatność wynika z niebezpiecznej konfiguracji workflow GitHub Actions, która umożliwia atakującemu wstrzyknięcie złośliwego Dockerfile do procesu budowania obrazów produkcyjnych.

Pokaż oryginał (EN)

FastGPT is an AI Agent building platform. In versions 4.14.8.3 and below, the fastgpt-preview-image.yml workflow is vulnerable to arbitrary code execution and secret exfiltration by any external contributor. It uses pull_request_target (which runs with access to repository secrets) but checks out code from the pull request author's fork, then builds and pushes Docker images using attacker-controlled Dockerfiles. This also enables a supply chain attack via the production container registry. A patch was not available at the time of publication.

🤖 Analiza AI
Jak działa

Workflow fastgpt-preview-image.yml używa wyzwalacza pull_request_target, który uruchamia się w kontekście repozytorium bazowego z dostępem do jego sekretów. Jednocześnie kod źródłowy pobierany jest z forka autora pull requesta, co oznacza, że atakujący może dostarczyć własny, złośliwy Dockerfile. Proces budowania i publikowania obrazu Docker odbywa się z użyciem kontrolowanego przez atakującego pliku, co pozwala na wykonanie dowolnych poleceń w środowisku CI/CD oraz przechwycenie sekretów repozytorium. Dodatkowo, ponieważ zbudowany obraz trafia do produkcyjnego rejestru kontenerów, możliwy jest atak na łańcuch dostaw (supply chain attack).

Skutki

Atakujący może wykonać dowolny kod w środowisku CI/CD, przejąć sekrety repozytorium (np. tokeny, klucze API) oraz wprowadzić złośliwy obraz do produkcyjnego rejestru kontenerów, co może skutkować kompromitacją całego łańcucha dostaw oprogramowania.

Mitygacja

W momencie publikacji podatności patch nie był dostępny. Zaleca się monitorowanie oficjalnego repozytorium projektu FastGPT oraz security advisory pod adresem https://github.com/labring/FastGPT/security/advisories/GHSA-xfx8-w35j-485c w celu uzyskania informacji o dostępności łatki. W ramach doraźnych działań należy rozważyć ograniczenie możliwości składania pull requestów przez zewnętrznych kontrybutorów lub wyłączenie podatnego workflow do czasu udostępnienia patcha.

Kogo dotyczy

FastGPT (platforma Fastgpt) w wersjach 4.14.8.3 i wcześniejszych

Uwagi

W momencie publikacji (2026-03-20) patch nie był dostępny — potwierdzono wprost w opisie oryginalnym. Podatność klasyfikowana jako CWE-494 (Download of Code Without Integrity Check) oraz CWE-829 (Inclusion of Functionality from Untrusted Control Sphere), co odzwierciedla ryzyko ataku na łańcuch dostaw poprzez produkcyjny rejestr kontenerów.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Fastgpt

    APP
    Fastgpt
    ≤ 4.14.8.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEContainer
CWE
Referencje

Powiązane podatności

CVE-2026-40351CRITICAL9.8PL ✓ten sam produkt

NoSQL Injection w FastGPT umożliwia pominięcie uwierzytelnienia

CVE-2026-34162CRITICAL10.0PL ✓ten sam produkt

FastGPT: nieuwierzytelniony endpoint proxy HTTP umożliwia SSRF

CVE-2026-40352HIGH8.8ten sam produkt

FastGPT is an AI Agent building platform. In versions prior to 4.14.9.5, the password change endpoint is vulne...

CVE-2026-34163HIGH7.7ten sam produkt

FastGPT is an AI Agent building platform. Prior to version 4.14.9.5, FastGPT's MCP (Model Context Protocol) to...

CVE-2026-40252MEDIUM5.3ten sam produkt

FastGPT is an AI Agent building platform. Prior to 4.14.10.4, Broken Access Control vulnerability (IDOR/BOLA) ...