HIGHCVE-2026-5633CVSS 7.3

assafelovic gpt-researcher ws エンドポイントにおけるサーバーサイドリクエストフォージェリ

プラットフォーム

nodejs

コンポーネント

gpt-researcher

修正版

3.4.1

3.4.2

3.4.3

3.4.4

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5633 は、assafelovic が開発する gpt-researcher のバージョン 3.4.0 から 3.4.3 において、ws Endpoint の機能に SSRF (Server-Side Request Forgery) 脆弱性が存在します。この脆弱性を悪用されると、攻撃者はリモートから任意のサーバーへのリクエストを偽装し、機密情報を取得したり、内部システムにアクセスしたりする可能性があります。開発者は問題の報告を受けていますが、現時点では対応が確認されていません。

影響と攻撃シナリオ

asafeovicのgpt-researcherライブラリにおいて、バージョン3.4.3まで脆弱性が確認されました。この脆弱性は、'ws Endpoint'コンポーネント内の不明な関数に存在し、source_urls引数を操作することで悪用される可能性があります。リモートの攻撃者は、サーバーがアクセスすべきではない内部または外部リソースへのリクエストを送信するためにこの欠陥を利用し、システム機密性、完全性、または可用性を損なう可能性があります。CVSSは7.3のスコアで評価されており、これは中程度から高いリスクを示しています。脆弱性の公開により、悪用のリスクが高まり、プロジェクトからの対応がないことは状況を悪化させています。

悪用の状況

SSRF脆弱性は、'ws Endpoint'内のsource_urlsパラメータを操作することで悪用されます。攻撃者は、内部リソース（クラウドメタデータや管理サービスなど）または外部リソースを指す悪意のあるURLを挿入できます。このURLを処理すると、サーバーは攻撃者の代わりにリクエストを実行し、通常は制限されている情報にアクセスしたり、アクションを実行したりすることを攻撃者に許可します。脆弱性の公開により、エクスプロイトコードが利用可能になる可能性があり、自動化された攻撃のリスクが高まります。開発者の対応がないことは、即時の修正がないことを意味し、積極的な軽減策が必要です。

リスク対象者翻訳中…

Organizations using gpt-researcher in their Node.js applications, particularly those exposing the ws endpoint to external networks, are at risk. This includes developers integrating gpt-researcher into custom applications and those relying on it as a dependency in larger projects. The lack of response from the project maintainers increases the risk, as timely security updates are unlikely.

検出手順翻訳中…

• nodejs: Use npm audit to check for vulnerabilities in your project dependencies. Look for gpt-researcher versions prior to a potential patch.

npm audit gpt-researcher

• generic web: Monitor access logs for requests to the ws endpoint with unusual or internal URLs.

grep 'ws endpoint' access.log | grep 'internal.domain'

攻撃タイムライン

2026-04-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.05% (17% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントgpt-researcher

ベンダーassafelovic

影響範囲修正版

3.4.0 – 3.4.03.4.1

3.4.1 – 3.4.13.4.2

3.4.2 – 3.4.23.4.3

3.4.3 – 3.4.33.4.4

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-04-05
公開日2026-04-06
EPSS 更新日2026-04-13

未パッチ — 公開から48日経過

緩和策と回避策

gpt-researcherプロジェクトが修正を提供していないため、直近の軽減策は、3.4.3より前のバージョンのgpt-researcherの使用を避けることです。ライブラリが不可欠な場合は、source_urls引数に対して堅牢な入力検証コントロールを実装し、許可されたURLをホワイトリストに制限する必要があります。さらに、ファイアウォールとネットワークルールを設定して、サーバーからの内部リソースへのアクセスを制限する必要があります。サーバーログを積極的に監視して、異常なトラフィックパターンを検出し、潜在的なSSRF攻撃に対応することができます。プロジェクトに連絡してセキュリティアップデートのリリースを促すことを強くお勧めします。

修正方法

gpt-researcherの修正バージョンにアップデートしてください。開発者は脆弱性報告に対応していないため、代替バージョンまたは回避策が利用可能かどうかを確認することをお勧めします。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5633 とは何ですか？（gpt-researcher）

SSRF（Server-Side Request Forgery）は、攻撃者がサーバーに通常アクセスできないリソースへのリクエストを実行させることを可能にする脆弱性です。

gpt-researcher の CVE-2026-5633 による影響を受けていますか？

これにより、攻撃者は機密情報にアクセスしたり、サーバー上でコマンドを実行したり、ネットワークに接続されている他のシステムを侵害したりすることができます。

gpt-researcher の CVE-2026-5633 を修正するにはどうすればよいですか？

3.4.3より前のバージョンを使用しないでください。入力検証とネットワークコントロールを実装してください。サーバーログを監視してください。

CVE-2026-5633 は積極的に悪用されていますか？

現在、プロジェクトは脆弱性の開示に回答していません。解決策を促すために彼らに連絡することをお勧めします。

CVE-2026-5633 に関する gpt-researcher の公式アドバイザリはどこで確認できますか？

最新の情報については、National Vulnerability Database（NVD）などの脆弱性データベースでCVE-2026-5633エントリを参照してください。