Kostenlos scannen
MEDIUMCVE-2026-5803CVSS 6.3

bigsk1 openai-realtime-ui API Proxy Endpoint server.js server-side request forgery

Plattform

nodejs

Komponente

openai-realtime-ui

Behoben in

188.0.1

AI Confidence: highNVDEPSS 0.0%Geprüft: Mai 2026
Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

A server-side request forgery (SSRF) vulnerability has been identified in openai-realtime-ui, affecting versions up to 188ccde27fdf3d8fab8da81f3893468f53b2797c. This flaw allows attackers to manipulate the Query argument within the API Proxy Endpoint, potentially enabling them to initiate unauthorized requests to internal or external resources. A public exploit is available, highlighting the urgency of remediation. The patched version is 54f8f50f43af97c334a881af7b021e84b5b8310f.

Auswirkungen und Angriffsszenarien

Eine Server-Side Request Forgery (SSRF)-Schwachstelle wurde in openai-realtime-ui entdeckt, insbesondere im API Proxy Endpoint innerhalb der Datei server.js, die Versionen bis 188ccde27fdf3d8fab8da81f3893468f53b2797c betrifft. Diese Schwachstelle ermöglicht es einem entfernten Angreifer, das Argument 'Query' zu manipulieren, um Anfragen an interne oder externe Ressourcen über den Server zu senden, wodurch potenziell sensible Informationen offengelegt oder unautorisierte Aktionen ermöglicht werden können. Die öffentliche Verfügbarkeit des Exploits und die Verwendung von Continuous Delivery mit Rolling Releases durch das Produkt erhöhen das Risiko aktiver Angriffe. Die Schwere der Schwachstelle wurde mit CVSS 6.3 eingestuft, was ein moderates bis hohes Risiko anzeigt.

Ausnutzungskontext

Die SSRF-Schwachstelle wird ausgenutzt, indem das Argument 'Query' im API Proxy Endpoint manipuliert wird. Ein Angreifer kann bösartige URLs injizieren, die der Server verwendet, um Anfragen an andere Systeme zu senden. Dies kann den Zugriff auf interne Ressourcen ermöglichen, die normalerweise nicht von außen zugänglich sind, wie z. B. Datenbanken, Administrationsserver oder Cloud-Dienste. Die öffentliche Verfügbarkeit des Exploits erleichtert dessen Verwendung durch Angreifer mit unterschiedlichem technischen Können. Die Verwendung von Continuous Deployments bedeutet, dass die Schwachstelle in vielen Produktionsinstanzen vorhanden sein könnte, was die Angriffsfläche vergrößert.

Wer Ist Gefährdetwird übersetzt…

Organizations utilizing openai-realtime-ui in production environments, particularly those with sensitive internal services accessible via the API Proxy Endpoint, are at risk. Environments with limited network segmentation or inadequate input validation are especially vulnerable.

Erkennungsschrittewird übersetzt…

• nodejs: Monitor process arguments for suspicious URLs being passed to the API Proxy Endpoint. Use ps aux | grep openai-realtime-ui to identify running processes and examine their command-line arguments.

ps aux | grep openai-realtime-ui | grep 'your_malicious_url'

• generic web: Examine access and error logs for requests to unusual or internal URLs originating from the API Proxy Endpoint. Look for patterns indicative of SSRF attempts.

grep 'your_malicious_url' /var/log/nginx/access.log

Angriffszeitlinie

  1. Disclosure

    disclosure

  2. PoC

    poc

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

EPSS

0.05% (14% Perzentil)

CISA SSVC

Ausnutzungpoc
Automatisierbarno
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:O/RC:C6.3MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityLowRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Niedrig — partieller oder intermittierender Denial of Service.

Betroffene Software

Komponenteopenai-realtime-ui
Herstellerbigsk1
Betroffener BereichBehoben in
188ccde27fdf3d8fab8da81f3893468f53b2797c – 188ccde27fdf3d8fab8da81f3893468f53b2797c188.0.1

Schwachstellen-Klassifikation (CWE)

CWE-918

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert

Mitigation und Workarounds

Die empfohlene Lösung ist die Aktualisierung auf die neueste verfügbare Version von openai-realtime-ui, die die Korrektur enthält, die in Commit 54f8f50f43af97c334a881af7b021e84b5b8310f implementiert wurde. Während der Aktualisierung wird empfohlen, Abhilfemaßnahmen zu ergreifen, wie z. B. die Beschränkung des Zugriffs auf den API Proxy Endpoint, die strenge Validierung und Bereinigung von Benutzereingaben sowie die Verwendung von Web Application Firewalls (WAFs) zum Filtern von bösartigem Datenverkehr. Es ist entscheidend, die Serverprotokolle auf verdächtige Aktivitäten zu überwachen und das Prinzip der geringsten Privilegien anzuwenden, um die potenziellen Auswirkungen einer erfolgreichen Ausnutzung zu begrenzen. Aufgrund der Natur kontinuierlicher Updates ist es wichtig, einen effizienten Patch-Management-Prozess einzurichten, um die rechtzeitige Anwendung von Sicherheitskorrekturen zu gewährleisten.

So behebenwird übersetzt…

Instala la versión parcheada 54f8f50f43af97c334a881af7b021e84b5b8310f para mitigar la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF).  Revisa la documentación del proyecto para obtener instrucciones específicas de actualización.  Asegúrate de que todas las dependencias estén actualizadas para evitar posibles problemas de compatibilidad.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragen

Was ist CVE-2026-5803 in openai-realtime-ui?

SSRF (Server-Side Request Forgery) ist eine Schwachstelle, die es einem Angreifer ermöglicht, den Server zu veranlassen, Anfragen an Ressourcen zu senden, die der Angreifer kontrolliert, wodurch potenziell sensible Informationen offengelegt oder unautorisierte Aktionen ermöglicht werden.

Bin ich von CVE-2026-5803 in openai-realtime-ui betroffen?

Wenn Sie eine Version von openai-realtime-ui verwenden, die älter ist als die Version mit der Korrektur (Commit 54f8f50f43af97c334a881af7b021e84b5b8310f), sind Sie wahrscheinlich betroffen.

Wie behebe ich CVE-2026-5803 in openai-realtime-ui?

Implementieren Sie Abhilfemaßnahmen wie die Beschränkung des Zugriffs, die Validierung von Benutzereingaben und die Verwendung eines WAF.

Wird CVE-2026-5803 aktiv ausgenutzt?

Ja, der Exploit wurde öffentlich freigegeben, was das Risiko von Angriffen erhöht.

Wo finde ich den offiziellen openai-realtime-ui-Hinweis für CVE-2026-5803?

Überprüfen Sie die Serverprotokolle auf ungewöhnliche Anfragen oder Datenverkehr zu unerwarteten internen Ressourcen.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen