प्लेटफ़ॉर्म
nodejs
घटक
gpt-researcher
में ठीक किया गया
3.4.1
3.4.2
3.4.3
3.4.4
CVE-2026-5633 gpt-researcher नामक घटक में एक भेद्यता है, विशेष रूप से इसके ws Endpoint फ़ंक्शन में। इस भेद्यता का शोषण करके, हमलावर सर्वर-साइड अनुरोध जालसाजी (SSRF) कर सकते हैं, जिससे संभावित रूप से संवेदनशील डेटा तक अनधिकृत पहुंच हो सकती है। यह भेद्यता gpt-researcher के संस्करण 3.4.0 से 3.4.3 तक प्रभावित करती है। परियोजना को समस्या के बारे में सूचित किया गया है, लेकिन अभी तक कोई प्रतिक्रिया नहीं मिली है।
asafeovic के gpt-researcher लाइब्रेरी में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता की पहचान की गई है, जो 3.4.3 से पहले के संस्करणों को प्रभावित करती है। यह भेद्यता 'ws Endpoint' घटक के भीतर एक अज्ञात फ़ंक्शन में मौजूद है, और इसे source_urls तर्क को हेरफेर करके शोषण किया जा सकता है। एक दूरस्थ हमलावर इस खामी का लाभ उठाकर सर्वर द्वारा एक्सेस नहीं किए जाने वाले आंतरिक या बाहरी संसाधनों के लिए अनुरोध भेज सकता है, जिससे सिस्टम की गोपनीयता, अखंडता या उपलब्धता से समझौता हो सकता है। CVSS को 7.3 का स्कोर दिया गया है, जो मध्यम से उच्च जोखिम दर्शाता है। भेद्यता का सार्वजनिक प्रकटीकरण शोषण के जोखिम को बढ़ाता है, और परियोजना की प्रतिक्रिया की कमी स्थिति को और खराब करती है।
SSRF भेद्यता का शोषण 'ws Endpoint' के भीतर source_urls पैरामीटर को हेरफेर करके किया जाता है। एक हमलावर क्लाउड मेटाडेटा या प्रशासनिक सेवाओं जैसे आंतरिक संसाधन, या बाहरी संसाधन की ओर इशारा करते हुए एक दुर्भावनापूर्ण URL इंजेक्ट कर सकता है। यह URL संसाधित होने पर, सर्वर हमलावर की ओर से अनुरोध करेगा, जिससे उन्हें उन सूचनाओं तक पहुंचने या कार्रवाई करने की अनुमति मिलेगी जो आमतौर पर प्रतिबंधित होती हैं। भेद्यता का सार्वजनिक प्रकटीकरण इंगित करता है कि शोषण कोड उपलब्ध हो सकता है, जिससे स्वचालित हमलों का जोखिम बढ़ जाता है। डेवलपर की प्रतिक्रिया की कमी का मतलब है कि कोई तत्काल फिक्स उपलब्ध नहीं है, जिसके लिए सक्रिय शमन उपायों की आवश्यकता होती है।
Organizations using gpt-researcher in their Node.js applications, particularly those exposing the ws endpoint to external networks, are at risk. This includes developers integrating gpt-researcher into custom applications and those relying on it as a dependency in larger projects. The lack of response from the project maintainers increases the risk, as timely security updates are unlikely.
• nodejs: Use npm audit to check for vulnerabilities in your project dependencies. Look for gpt-researcher versions prior to a potential patch.
npm audit gpt-researcher• generic web: Monitor access logs for requests to the ws endpoint with unusual or internal URLs.
grep 'ws endpoint' access.log | grep 'internal.domain'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (17% शतमक)
CISA SSVC
CVSS वेक्टर
gpt-researcher परियोजना ने अभी तक कोई समाधान प्रदान नहीं किया है, इसलिए तत्काल शमन में 3.4.3 से पहले के संस्करणों में gpt-researcher का उपयोग करने से बचना शामिल है। यदि लाइब्रेरी आवश्यक है, तो source_urls तर्क के लिए मजबूत इनपुट सत्यापन नियंत्रण लागू किए जाने चाहिए, अनुमत URL को एक श्वेतसूची तक सीमित करना चाहिए। इसके अतिरिक्त, सर्वर से आंतरिक संसाधनों तक पहुंच को सीमित करने के लिए फ़ायरवॉल और नेटवर्क नियमों को कॉन्फ़िगर किया जाना चाहिए। असामान्य ट्रैफ़िक पैटर्न के लिए सर्वर लॉग की सक्रिय रूप से निगरानी करने से संभावित SSRF हमलों का पता लगाने और उनका जवाब देने में मदद मिल सकती है। सुरक्षा अपडेट जारी करने के लिए परियोजना से संपर्क करने की पुरजोर सिफारिश की जाती है।
gpt-researcher के एक ठीक किए गए संस्करण में अपडेट करें। डेवलपर ने भेद्यता रिपोर्ट का जवाब नहीं दिया है, इसलिए वैकल्पिक संस्करणों या वैकल्पिक समाधानों की जांच करने की अनुशंसा की जाती है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SSRF (सर्वर-साइड रिक्वेस्ट फोर्जरी) एक भेद्यता है जो एक हमलावर को सर्वर को उन संसाधनों के लिए अनुरोध करने की अनुमति देती है जिन्हें सामान्य रूप से एक्सेस नहीं करना चाहिए, चाहे आंतरिक हो या बाहरी।
यह हमलावरों को संवेदनशील जानकारी तक पहुंचने, सर्वर पर कमांड निष्पादित करने या यहां तक कि नेटवर्क से जुड़े अन्य सिस्टम को समझौता करने की अनुमति देता है।
3.4.3 से पहले के संस्करणों का उपयोग करने से बचें। इनपुट सत्यापन और नेटवर्क नियंत्रण लागू करें। सर्वर लॉग की निगरानी करें।
वर्तमान में, परियोजना ने भेद्यता प्रकटीकरण पर प्रतिक्रिया नहीं दी है। एक समाधान के लिए उन्हें संपर्क करने की सिफारिश की जाती है।
नवीनतम जानकारी के लिए राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस में CVE-2026-5633 प्रविष्टि देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।