mirror of
https://github.com/labring/FastGPT.git
synced 2026-03-24 01:08:06 +08:00
91a130307d
* fix: SSRF vulnerability in HTTP Tool (GHSA-6g6x-8hq5-9cw4) 修复 HTTP Tool 中的 SSRF 漏洞,防止攻击者访问内部网络资源。 主要变更: 1. 在 runHTTPTool 函数中添加 isInternalAddress 验证 2. 修改 CHECK_INTERNAL_IP 默认行为为启用(安全优先) 3. 添加全面的单元测试验证修复 安全改进: - 阻止访问 AWS/GCP/Azure 等云服务商元数据端点 - 阻止访问 Kubernetes 服务端点 - 阻止访问私有 IP 范围 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) - 阻止访问 localhost 和 127.0.0.1 - 阻止访问 link-local 地址 (169.254.0.0/16) 破坏性变更: - CHECK_INTERNAL_IP 环境变量默认值从 false 改为 true - 需要访问内部服务的用户需要显式设置 CHECK_INTERNAL_IP=false(不推荐) 测试: - 添加 23 个测试用例覆盖各种 SSRF 攻击场景 - 所有测试通过 相关问题: - Fixes GHSA-6g6x-8hq5-9cw4 - CWE-918: Server-Side Request Forgery Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com> * test: update isInternalAddress tests for new default behavior 更新测试以反映 CHECK_INTERNAL_IP 的新默认行为(默认启用安全检查)。 变更: - 修改默认行为测试:现在默认阻止私有 IP 地址 - 添加 CHECK_INTERNAL_IP=false 测试组:测试向后兼容模式 - 所有 62 个测试通过 Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com> * doc --------- Co-authored-by: Claude Opus 4.6 <noreply@anthropic.com>