プラットフォーム
nodejs
コンポーネント
openai-realtime-ui
修正版
188.0.1
CVE-2026-5803は、openai-realtime-uiにおいて発見されたServer-Side Request Forgery (SSRF) の脆弱性です。この脆弱性を悪用されると、攻撃者がリモートからサーバーへのリクエストを偽装し、機密情報にアクセスしたり、他のシステムに攻撃を仕掛けたりする可能性があります。影響を受けるバージョンは188ccde27fdf3d8fab8da81f3893468f53b2797c以前です。パッチバージョン54f8f50f43af97c334a881af7b021e84b5b8310fで修正されています。
openai-realtime-ui のバージョン 188ccde27fdf3d8fab8da81f3893468f53b2797c までの Server-Side Request Forgery (SSRF) の脆弱性が発見されました。これは、server.js ファイル内の API Proxy Endpoint に特有です。この脆弱性を悪用すると、リモートの攻撃者が 'Query' 引数を操作して、サーバー経由で内部または外部リソースへのリクエストを送信できるようになり、機密情報が漏洩したり、不正なアクションが許可されたりする可能性があります。エクスプロイトの公開と、製品による継続的なデプロイメントの使用により、攻撃のリスクが高まっています。この脆弱性の重大度は CVSS 6.3 と評価されており、中程度から高いリスクを示しています。
SSRF の脆弱性は、API Proxy Endpoint の 'Query' 引数を操作することで悪用されます。攻撃者は、サーバーが他のシステムへのリクエストに使用する悪意のある URL を挿入できます。これにより、通常は外部からアクセスできないデータベース、管理サーバー、またはクラウドサービスなどの内部リソースにアクセスできるようになる可能性があります。エクスプロイトの公開により、さまざまな技術スキルを持つ攻撃者による使用が容易になります。継続的なデプロイメントを使用しているため、この脆弱性は多くの本番環境インスタンスに存在する可能性があり、攻撃対象領域が拡大します。
Organizations utilizing openai-realtime-ui in production environments, particularly those with sensitive internal services accessible via the API Proxy Endpoint, are at risk. Environments with limited network segmentation or inadequate input validation are especially vulnerable.
• nodejs: Monitor process arguments for suspicious URLs being passed to the API Proxy Endpoint. Use ps aux | grep openai-realtime-ui to identify running processes and examine their command-line arguments.
ps aux | grep openai-realtime-ui | grep 'your_malicious_url'• generic web: Examine access and error logs for requests to unusual or internal URLs originating from the API Proxy Endpoint. Look for patterns indicative of SSRF attempts.
grep 'your_malicious_url' /var/log/nginx/access.logdisclosure
poc
エクスプロイト状況
EPSS
0.05% (14% パーセンタイル)
CISA SSVC
CVSS ベクトル
推奨される解決策は、openai-realtime-ui を最新バージョンに更新することです。このバージョンには、commit 54f8f50f43af97c334a881af7b021e84b5b8310f で実装された修正が含まれています。更新中に、API Proxy Endpoint へのアクセス制限、ユーザー入力の厳格な検証とサニタイズ、および Web アプリケーションファイアウォール (WAF) を使用して悪意のあるトラフィックをフィルタリングするなど、軽減策を実装することをお勧めします。サーバーログを監視し、不正な悪用が発生した場合の影響を最小限に抑えるために、最小権限の原則を適用することが重要です。継続的な更新の性質上、セキュリティ修正をタイムリーに適用するために、効率的なパッチ管理プロセスを確立することが重要です。
Instala la versión parcheada 54f8f50f43af97c334a881af7b021e84b5b8310f para mitigar la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF). Revisa la documentación del proyecto para obtener instrucciones específicas de actualización. Asegúrate de que todas las dependencias estén actualizadas para evitar posibles problemas de compatibilidad.
脆弱性分析と重要アラートをメールでお届けします。
SSRF (Server-Side Request Forgery) は、攻撃者がサーバーに攻撃者が制御するリソースへのリクエストを実行させることができる脆弱性です。これにより、機密情報が漏洩したり、不正なアクションが許可されたりする可能性があります。
openai-realtime-ui のバージョンが修正 (commit 54f8f50f43af97c334a881af7b021e84b5b8310f) を含むバージョンより古い場合、影響を受けている可能性が高いです。
アクセス制限、ユーザー入力の検証、WAF の使用など、軽減策を実装してください。
はい、エクスプロイトが公開されており、攻撃のリスクが高まっています。
サーバーログを調べて、通常とは異なるリクエストや予期しない内部リソースへのトラフィックがないか確認してください。