無料スキャン
MEDIUMCVE-2026-5630CVSS 4.3

assafelovic gpt-researcher Report API app.py クロスサイトスクリプティング

プラットフォーム

python

コンポーネント

assafelovic-gpt-researcher

修正版

3.4.1

3.4.2

3.4.3

3.4.4

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月
NVDで見る
保存
あなたの言語に翻訳中…

CVE-2026-5630 describes a cross-site scripting (XSS) vulnerability discovered in gpt-researcher, specifically impacting versions 3.4.0 through 3.4.3. This flaw resides within the Report API component, allowing an attacker to inject malicious scripts. The vulnerability is remotely exploitable and a public proof-of-concept exists, highlighting the potential for immediate exploitation. The project maintainers have not yet responded to the reported issue.

Python

このCVEがあなたのプロジェクトに影響するか確認

requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。

requirements.txt をアップロード対応フォーマット: requirements.txt · Pipfile.lock

影響と攻撃シナリオ翻訳中…

Successful exploitation of CVE-2026-5630 allows an attacker to inject arbitrary JavaScript code into the gpt-researcher application. This could lead to a variety of malicious outcomes, including session hijacking, defacement of the application's user interface, and redirection to phishing sites. The attacker could potentially steal sensitive user data, such as API keys or authentication tokens, if the application handles such information. Given the remote nature of the vulnerability and the availability of a public exploit, the risk of exploitation is significant. The impact is amplified if the gpt-researcher application is exposed to the public internet or integrated with other systems.

悪用の状況翻訳中…

CVE-2026-5630 was publicly disclosed on 2026-04-06. A proof-of-concept exploit is publicly available, indicating a relatively high probability of exploitation. The vulnerability has been added to the NVD database. The lack of response from the project maintainers increases the risk of continued exploitation.

リスク対象者翻訳中…

Organizations and individuals using gpt-researcher versions 3.4.0 through 3.4.3, particularly those exposing the Report API to external users or systems, are at risk. Those relying on gpt-researcher for sensitive data processing or integration with critical infrastructure are especially vulnerable.

検出手順翻訳中…

• python / server: Examine the backend/server/app.py file for unsanitized user input. Use a code analysis tool to identify potential XSS vulnerabilities.

# Example: Check for user input in the Report API endpoint
import re
user_input = request.args.get('report_data')
if user_input:
  if not re.match(r'^[a-zA-Z0-9]+$', user_input):
    # Reject input if it contains non-alphanumeric characters
    return 'Invalid input'

• generic web: Monitor access logs for requests containing suspicious JavaScript code in the report_data parameter. Look for unusual URL encoded characters. • generic web: Check response headers for signs of XSS, such as the presence of injected JavaScript code in the HTML content.

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

EPSS

0.01% (1% パーセンタイル)

CISA SSVC

悪用状況poc
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:X/RC:R4.3MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントassafelovic-gpt-researcher
ベンダーassafelovic
影響範囲修正版
3.4.0 – 3.4.03.4.1
3.4.1 – 3.4.13.4.2
3.4.2 – 3.4.23.4.3
3.4.3 – 3.4.33.4.4

弱点分類 (CWE)

CWE-79CWE-94

タイムライン

  1. 予約済み
  2. 公開日
  3. EPSS 更新日
未パッチ — 公開から48日経過

緩和策と回避策翻訳中…

The primary mitigation for CVE-2026-5630 is to upgrade to a patched version of gpt-researcher. As of this writing, no patched version has been released. Until a patch is available, consider implementing input validation and sanitization on the Report API endpoint to prevent the injection of malicious scripts. Web application firewalls (WAFs) configured to detect and block XSS payloads can provide an additional layer of defense. Monitor application logs for suspicious activity, such as unusual JavaScript execution patterns. Since no patch is available, careful review of the backend/server/app.py file for potential vulnerabilities is recommended.

修正方法

gpt-researcher の修正されたバージョンにアップデートしてください。開発者に問題が通知されていますが、まだ解決策は提供されていません。アップデートまたは回避策については、プロジェクトのリポジトリを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問翻訳中…

What is CVE-2026-5630 — XSS in gpt-researcher?

CVE-2026-5630 is a cross-site scripting (XSS) vulnerability affecting gpt-researcher versions 3.4.0–3.4.3, allowing remote attackers to inject malicious scripts via the Report API.

Am I affected by CVE-2026-5630 in gpt-researcher?

You are affected if you are using gpt-researcher versions 3.4.0 through 3.4.3 and have not upgraded to a patched version (currently unavailable).

How do I fix CVE-2026-5630 in gpt-researcher?

Upgrade to a patched version of gpt-researcher when available. Until then, implement input validation and sanitization and consider using a WAF.

Is CVE-2026-5630 being actively exploited?

A public proof-of-concept exists, indicating a high probability of active exploitation.

Where can I find the official gpt-researcher advisory for CVE-2026-5630?

As of this writing, no official advisory has been released by the gpt-researcher project. Monitor the project's website and GitHub repository for updates.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索