Vulnerability Details CVE-2026-34162
FastGPT is an AI Agent building platform. Prior to version 4.14.9.5, the FastGPT HTTP tools testing endpoint (/api/core/app/httpTools/runTool) is exposed without any authentication. This endpoint acts as a full HTTP proxy — it accepts a user-supplied baseUrl, toolPath, HTTP method, custom headers, and body, then makes a server-side HTTP request and returns the complete response to the caller. This issue has been patched in version 4.14.9.5.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.001
EPSS Ranking 25.8%
CVSS Severity
CVSS v3 Score 10.0
References
- https://github.com/labring/FastGPT/commit/bc7eae2ed61481a5e322208829be291faec58c00
- https://github.com/labring/FastGPT/pull/6640
- https://github.com/labring/FastGPT/releases/tag/v4.14.9.5
- https://github.com/labring/FastGPT/security/advisories/GHSA-w36r-f268-pwrj
- https://github.com/labring/FastGPT/security/advisories/GHSA-w36r-f268-pwrj
Products affected by CVE-2026-34162
-
cpe:2.3:a:fastgpt:fastgpt:0.2
-
cpe:2.3:a:fastgpt:fastgpt:0.9
-
cpe:2.3:a:fastgpt:fastgpt:1.0
-
cpe:2.3:a:fastgpt:fastgpt:1.1
-
cpe:2.3:a:fastgpt:fastgpt:1.2
-
cpe:2.3:a:fastgpt:fastgpt:1.4
-
cpe:2.3:a:fastgpt:fastgpt:2.0
-
cpe:2.3:a:fastgpt:fastgpt:2.1
-
cpe:2.3:a:fastgpt:fastgpt:2.2
-
cpe:2.3:a:fastgpt:fastgpt:2.3
-
cpe:2.3:a:fastgpt:fastgpt:2.4
-
cpe:2.3:a:fastgpt:fastgpt:2.5
-
cpe:2.3:a:fastgpt:fastgpt:2.6
-
cpe:2.3:a:fastgpt:fastgpt:2.7
-
cpe:2.3:a:fastgpt:fastgpt:2.7.1
-
cpe:2.3:a:fastgpt:fastgpt:2.7.2
-
cpe:2.3:a:fastgpt:fastgpt:2.8
-
cpe:2.3:a:fastgpt:fastgpt:2.8.5
-
cpe:2.3:a:fastgpt:fastgpt:2.9
-
cpe:2.3:a:fastgpt:fastgpt:3.0
-
cpe:2.3:a:fastgpt:fastgpt:3.1
-
cpe:2.3:a:fastgpt:fastgpt:3.2
-
cpe:2.3:a:fastgpt:fastgpt:3.3
-
cpe:2.3:a:fastgpt:fastgpt:3.4
-
cpe:2.3:a:fastgpt:fastgpt:3.5
-
cpe:2.3:a:fastgpt:fastgpt:3.6
-
cpe:2.3:a:fastgpt:fastgpt:3.7
-
cpe:2.3:a:fastgpt:fastgpt:3.7.1
-
cpe:2.3:a:fastgpt:fastgpt:3.7.3
-
cpe:2.3:a:fastgpt:fastgpt:3.8
-
cpe:2.3:a:fastgpt:fastgpt:3.8.1
-
cpe:2.3:a:fastgpt:fastgpt:3.8.2
-
cpe:2.3:a:fastgpt:fastgpt:3.8.3
-
cpe:2.3:a:fastgpt:fastgpt:3.8.4
-
cpe:2.3:a:fastgpt:fastgpt:3.8.5
-
cpe:2.3:a:fastgpt:fastgpt:3.8.6
-
cpe:2.3:a:fastgpt:fastgpt:3.8.7
-
cpe:2.3:a:fastgpt:fastgpt:3.8.8
-
cpe:2.3:a:fastgpt:fastgpt:3.8.9
-
cpe:2.3:a:fastgpt:fastgpt:3.9
-
cpe:2.3:a:fastgpt:fastgpt:3.9.1
-
cpe:2.3:a:fastgpt:fastgpt:3.9.2
-
cpe:2.3:a:fastgpt:fastgpt:3.9.3
-
cpe:2.3:a:fastgpt:fastgpt:3.9.4
-
cpe:2.3:a:fastgpt:fastgpt:4.0
-
cpe:2.3:a:fastgpt:fastgpt:4.10.0
-
cpe:2.3:a:fastgpt:fastgpt:4.10.1
-
cpe:2.3:a:fastgpt:fastgpt:4.11.0
-
cpe:2.3:a:fastgpt:fastgpt:4.11.1
-
cpe:2.3:a:fastgpt:fastgpt:4.12.0
-
cpe:2.3:a:fastgpt:fastgpt:4.12.1
-
cpe:2.3:a:fastgpt:fastgpt:4.12.2
-
cpe:2.3:a:fastgpt:fastgpt:4.12.3
-
cpe:2.3:a:fastgpt:fastgpt:4.12.4
-
cpe:2.3:a:fastgpt:fastgpt:4.13.0
-
cpe:2.3:a:fastgpt:fastgpt:4.13.1
-
cpe:2.3:a:fastgpt:fastgpt:4.13.2
-
cpe:2.3:a:fastgpt:fastgpt:4.14.0
-
cpe:2.3:a:fastgpt:fastgpt:4.14.1
-
cpe:2.3:a:fastgpt:fastgpt:4.14.2
-
cpe:2.3:a:fastgpt:fastgpt:4.14.3
-
cpe:2.3:a:fastgpt:fastgpt:4.14.4
-
cpe:2.3:a:fastgpt:fastgpt:4.14.5
-
cpe:2.3:a:fastgpt:fastgpt:4.14.5.1
-
cpe:2.3:a:fastgpt:fastgpt:4.14.6
-
cpe:2.3:a:fastgpt:fastgpt:4.14.6.1
-
cpe:2.3:a:fastgpt:fastgpt:4.14.7
-
cpe:2.3:a:fastgpt:fastgpt:4.14.7.1
-
cpe:2.3:a:fastgpt:fastgpt:4.14.7.2
-
cpe:2.3:a:fastgpt:fastgpt:4.14.8
-
cpe:2.3:a:fastgpt:fastgpt:4.14.8.1
-
cpe:2.3:a:fastgpt:fastgpt:4.14.8.2
-
cpe:2.3:a:fastgpt:fastgpt:4.14.8.3
-
cpe:2.3:a:fastgpt:fastgpt:4.2
-
cpe:2.3:a:fastgpt:fastgpt:4.2.1
-
cpe:2.3:a:fastgpt:fastgpt:4.2.2
-
cpe:2.3:a:fastgpt:fastgpt:4.3
-
cpe:2.3:a:fastgpt:fastgpt:4.4
-
cpe:2.3:a:fastgpt:fastgpt:4.4.1
-
cpe:2.3:a:fastgpt:fastgpt:4.4.2
-
cpe:2.3:a:fastgpt:fastgpt:4.4.4
-
cpe:2.3:a:fastgpt:fastgpt:4.4.5
-
cpe:2.3:a:fastgpt:fastgpt:4.4.6
-
cpe:2.3:a:fastgpt:fastgpt:4.4.7
-
cpe:2.3:a:fastgpt:fastgpt:4.5
-
cpe:2.3:a:fastgpt:fastgpt:4.5.1
-
cpe:2.3:a:fastgpt:fastgpt:4.5.2
-
cpe:2.3:a:fastgpt:fastgpt:4.6
-
cpe:2.3:a:fastgpt:fastgpt:4.6.1
-
cpe:2.3:a:fastgpt:fastgpt:4.6.2
-
cpe:2.3:a:fastgpt:fastgpt:4.6.3
-
cpe:2.3:a:fastgpt:fastgpt:4.6.4
-
cpe:2.3:a:fastgpt:fastgpt:4.6.5
-
cpe:2.3:a:fastgpt:fastgpt:4.6.6
-
cpe:2.3:a:fastgpt:fastgpt:4.6.7
-
cpe:2.3:a:fastgpt:fastgpt:4.6.8
-
cpe:2.3:a:fastgpt:fastgpt:4.6.9
-
cpe:2.3:a:fastgpt:fastgpt:4.7
-
cpe:2.3:a:fastgpt:fastgpt:4.7.1
-
cpe:2.3:a:fastgpt:fastgpt:4.8
-
cpe:2.3:a:fastgpt:fastgpt:4.8.1
-
cpe:2.3:a:fastgpt:fastgpt:4.8.10
-
cpe:2.3:a:fastgpt:fastgpt:4.8.11
-
cpe:2.3:a:fastgpt:fastgpt:4.8.12
-
cpe:2.3:a:fastgpt:fastgpt:4.8.13
-
cpe:2.3:a:fastgpt:fastgpt:4.8.14
-
cpe:2.3:a:fastgpt:fastgpt:4.8.15
-
cpe:2.3:a:fastgpt:fastgpt:4.8.16
-
cpe:2.3:a:fastgpt:fastgpt:4.8.17
-
cpe:2.3:a:fastgpt:fastgpt:4.8.18
-
cpe:2.3:a:fastgpt:fastgpt:4.8.19
-
cpe:2.3:a:fastgpt:fastgpt:4.8.2
-
cpe:2.3:a:fastgpt:fastgpt:4.8.20
-
cpe:2.3:a:fastgpt:fastgpt:4.8.21
-
cpe:2.3:a:fastgpt:fastgpt:4.8.22
-
cpe:2.3:a:fastgpt:fastgpt:4.8.23
-
cpe:2.3:a:fastgpt:fastgpt:4.8.3
-
cpe:2.3:a:fastgpt:fastgpt:4.8.4
-
cpe:2.3:a:fastgpt:fastgpt:4.8.5
-
cpe:2.3:a:fastgpt:fastgpt:4.8.6
-
cpe:2.3:a:fastgpt:fastgpt:4.8.7
-
cpe:2.3:a:fastgpt:fastgpt:4.8.8
-
cpe:2.3:a:fastgpt:fastgpt:4.8.9
-
cpe:2.3:a:fastgpt:fastgpt:4.9.0
-
cpe:2.3:a:fastgpt:fastgpt:4.9.1
-
cpe:2.3:a:fastgpt:fastgpt:4.9.10
-
cpe:2.3:a:fastgpt:fastgpt:4.9.11
-
cpe:2.3:a:fastgpt:fastgpt:4.9.12
-
cpe:2.3:a:fastgpt:fastgpt:4.9.13
-
cpe:2.3:a:fastgpt:fastgpt:4.9.14
-
cpe:2.3:a:fastgpt:fastgpt:4.9.2
-
cpe:2.3:a:fastgpt:fastgpt:4.9.3
-
cpe:2.3:a:fastgpt:fastgpt:4.9.4
-
cpe:2.3:a:fastgpt:fastgpt:4.9.5
-
cpe:2.3:a:fastgpt:fastgpt:4.9.6
-
cpe:2.3:a:fastgpt:fastgpt:4.9.7
-
cpe:2.3:a:fastgpt:fastgpt:4.9.8
-
cpe:2.3:a:fastgpt:fastgpt:4.9.9