assafelovic gpt-researcher ws エンドポイントにおけるサーバーサイドリクエストフォージェリ

assafelovic gpt-researcher のバージョン 3.4.3 以前に脆弱性が確認されました。影響を受けるのは ws Endpoint コンポーネントの不明な関数です。source_urls 引数の操作を実行することで、サーバーサイドリクエストフォージェリが発生する可能性があります。攻撃はリモートから実行可能です。エクスプロイトは公開されており、悪用される可能性があります。プロジェクトは問題が早期にイシューレポートを通じて報告されましたが、まだ対応していません。