Plateforme
nodejs
Composant
gpt-researcher
Corrigé dans
3.4.1
3.4.2
3.4.3
3.4.4
La vulnérabilité CVE-2026-5633 est une faille de type Server-Side Request Forgery (SSRF) découverte dans le composant ws Endpoint de gpt-researcher, affectant les versions 3.4.0 à 3.4.3. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources non intentionnelles, potentiellement compromettant la confidentialité et l'intégrité des données. Le projet a été informé de cette vulnérabilité, mais aucune réponse n'a été reçue à ce jour, et aucune correction officielle n'est disponible.
Une vulnérabilité de falsification de requête côté serveur (SSRF) a été identifiée dans la bibliothèque gpt-researcher d'asafeovic, affectant les versions jusqu'à la 3.4.3. La vulnérabilité réside dans une fonction inconnue du composant 'ws Endpoint' et peut être exploitée en manipulant l'argument source_urls. Un attaquant distant pourrait exploiter cette faille pour effectuer des requêtes vers des ressources internes ou externes auxquelles le serveur ne devrait pas avoir accès, compromettant potentiellement la confidentialité, l'intégrité ou la disponibilité du système. Le CVSS a été noté à 7.3, indiquant un risque modérément élevé. La divulgation publique de la vulnérabilité augmente le risque d'exploitation, et le manque de réponse du projet aggrave la situation.
La vulnérabilité SSRF est exploitée en manipulant le paramètre source_urls dans le composant 'ws Endpoint'. Un attaquant peut injecter une URL malveillante pointant vers une ressource interne (comme des métadonnées de cloud ou des services d'administration) ou une ressource externe. Le serveur, lors du traitement de cette URL, effectuera la requête au nom de l'attaquant, lui permettant d'accéder à des informations ou d'effectuer des actions qui seraient normalement restreintes. La divulgation publique de la vulnérabilité signifie que du code d'exploitation peut être disponible, augmentant le risque d'attaques automatisées. Le manque de réponse du développeur implique qu'aucun correctif immédiat n'est disponible, ce qui nécessite des mesures de mitigation proactives.
Organizations using gpt-researcher in their Node.js applications, particularly those exposing the ws endpoint to external networks, are at risk. This includes developers integrating gpt-researcher into custom applications and those relying on it as a dependency in larger projects. The lack of response from the project maintainers increases the risk, as timely security updates are unlikely.
• nodejs: Use npm audit to check for vulnerabilities in your project dependencies. Look for gpt-researcher versions prior to a potential patch.
npm audit gpt-researcher• generic web: Monitor access logs for requests to the ws endpoint with unusual or internal URLs.
grep 'ws endpoint' access.log | grep 'internal.domain'disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
Vecteur CVSS
Étant donné que le projet gpt-researcher n'a pas fourni de correctif, la mitigation immédiate consiste à éviter l'utilisation de gpt-researcher dans les versions antérieures à la 3.4.3. Si la bibliothèque est essentielle, des contrôles robustes de validation d'entrée doivent être mis en œuvre pour l'argument source_urls, en restreignant les URL autorisées à une liste blanche. De plus, des pare-feu et des règles réseau doivent être configurés pour limiter l'accès aux ressources internes à partir du serveur. Surveiller activement les journaux du serveur à la recherche de schémas de trafic inhabituels peut aider à détecter et à répondre aux attaques SSRF potentielles. Il est fortement recommandé de contacter le projet pour l'inciter à publier une mise à jour de sécurité.
Mettez à jour vers une version corrigée de (gpt-researcher). Le développeur n'a pas répondu au rapport de vulnérabilité, il est donc recommandé de vérifier s'il existe des versions alternatives ou des solutions de contournement disponibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SSRF (Server-Side Request Forgery) est une vulnérabilité qui permet à un attaquant de faire en sorte que le serveur effectue des requêtes vers des ressources auxquelles il ne devrait normalement pas pouvoir accéder, que ce soit en interne ou en externe.
Elle permet aux attaquants d'accéder à des informations sensibles, d'exécuter des commandes sur le serveur ou même de compromettre d'autres systèmes connectés au réseau.
Évitez d'utiliser les versions antérieures à la 3.4.3. Mettez en œuvre la validation d'entrée et les contrôles réseau. Surveillez les journaux du serveur.
Actuellement, le projet n'a pas répondu à la divulgation de la vulnérabilité. Il est recommandé de le contacter pour l'inciter à trouver une solution.
Consultez l'entrée CVE-2026-5633 dans les bases de données de vulnérabilités telles que le National Vulnerability Database (NVD) pour obtenir des informations mises à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.