Plateforme
nodejs
Composant
openai-realtime-ui
Corrigé dans
188.0.1
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été identifiée dans openai-realtime-ui, affectant les versions antérieures à 188ccde27fdf3d8fab8da81f3893468f53b2797c. Cette faille permet à un attaquant de manipuler les arguments Query, ce qui peut conduire à des requêtes non autorisées vers des serveurs internes. L'exploit est public et une correction est disponible.
Une vulnérabilité de falsification de requête côté serveur (SSRF) a été identifiée dans openai-realtime-ui, plus précisément au sein de l'API Proxy Endpoint dans le fichier server.js, affectant les versions jusqu'à 188ccde27fdf3d8fab8da81f3893468f53b2797c. Cette vulnérabilité permet à un attaquant distant de manipuler l'argument 'Query' pour effectuer des requêtes vers des ressources internes ou externes via le serveur, exposant potentiellement des informations sensibles ou permettant des actions non autorisées. La disponibilité publique de l'exploit et l'utilisation de la livraison continue avec des mises à jour continues par le produit augmentent le risque d'attaques actives. La sévérité de la vulnérabilité a été classée comme CVSS 6.3, indiquant un risque modéré à élevé.
La vulnérabilité SSRF est exploitée en manipulant l'argument 'Query' dans l'API Proxy Endpoint. Un attaquant peut injecter des URL malveillantes que le serveur utilisera pour effectuer des requêtes vers d'autres systèmes. Cela peut permettre l'accès à des ressources internes qui ne seraient normalement pas accessibles depuis l'extérieur, telles que des bases de données, des serveurs d'administration ou des services cloud. La disponibilité publique de l'exploit facilite son utilisation par des attaquants ayant différents niveaux de compétences techniques. L'utilisation de déploiements continus signifie que la vulnérabilité pourrait être présente dans de nombreuses instances de production, augmentant la surface d'attaque.
Organizations utilizing openai-realtime-ui in production environments, particularly those with sensitive internal services accessible via the API Proxy Endpoint, are at risk. Environments with limited network segmentation or inadequate input validation are especially vulnerable.
• nodejs: Monitor process arguments for suspicious URLs being passed to the API Proxy Endpoint. Use ps aux | grep openai-realtime-ui to identify running processes and examine their command-line arguments.
ps aux | grep openai-realtime-ui | grep 'your_malicious_url'• generic web: Examine access and error logs for requests to unusual or internal URLs originating from the API Proxy Endpoint. Look for patterns indicative of SSRF attempts.
grep 'your_malicious_url' /var/log/nginx/access.logdisclosure
poc
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour vers la dernière version disponible de openai-realtime-ui, qui inclut la correction implémentée dans le commit 54f8f50f43af97c334a881af7b021e84b5b8310f. Pendant la mise à jour, il est recommandé de mettre en œuvre des mesures d'atténuation telles que la restriction de l'accès à l'API Proxy Endpoint, la validation et la désinfection rigoureuses des entrées utilisateur et l'utilisation de pare-feu d'applications web (WAF) pour filtrer le trafic malveillant. Il est essentiel de surveiller les journaux du serveur à la recherche d'activités suspectes et d'appliquer le principe du moindre privilège pour limiter l'impact potentiel d'une exploitation réussie. En raison de la nature des mises à jour continues, il est important d'établir un processus de gestion des correctifs efficace pour garantir l'application opportune des correctifs de sécurité.
Instala la versión parcheada 54f8f50f43af97c334a881af7b021e84b5b8310f para mitigar la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF). Revisa la documentación del proyecto para obtener instrucciones específicas de actualización. Asegúrate de que todas las dependencias estén actualizadas para evitar posibles problemas de compatibilidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SSRF (Server-Side Request Forgery) est une vulnérabilité qui permet à un attaquant de faire en sorte que le serveur effectue des requêtes vers des ressources que l'attaquant contrôle, exposant potentiellement des informations sensibles ou permettant des actions non autorisées.
Si vous utilisez une version de openai-realtime-ui antérieure à la version avec la correction (commit 54f8f50f43af97c334a881af7b021e84b5b8310f), vous êtes probablement affecté.
Mettez en œuvre des mesures d'atténuation telles que la restriction de l'accès, la validation des entrées utilisateur et l'utilisation d'un WAF.
Oui, l'exploit a été rendu public, ce qui augmente le risque d'attaques.
Examinez les journaux du serveur à la recherche de requêtes inhabituelles ou de trafic vers des ressources internes inattendues.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.