Platform
nodejs
Component
gpt-researcher
Opgelost in
3.4.1
3.4.2
3.4.3
3.4.4
CVE-2026-5633 is een server-side request forgery (SSRF) kwetsbaarheid ontdekt in de gpt-researcher component, specifiek in de ws Endpoint functionaliteit. Deze kwetsbaarheid stelt een aanvaller in staat om verzoeken te manipuleren en zo interne bronnen te benaderen, wat kan leiden tot data-exfiltratie of andere schadelijke acties. De kwetsbaarheid treft versies 3.4.0 tot en met 3.4.3 van gpt-researcher. Op dit moment is er geen officiële patch beschikbaar.
Een Server-Side Request Forgery (SSRF) kwetsbaarheid is geïdentificeerd in de gpt-researcher bibliotheek van asafeovic, die versies tot en met 3.4.3 beïnvloedt. De kwetsbaarheid bevindt zich in een onbekende functie van de 'ws Endpoint' component en kan worden misbruikt door de source_urls argument te manipuleren. Een externe aanvaller kan deze tekortkoming benutten om verzoeken te sturen naar interne of externe bronnen waarvoor de server geen toegang zou moeten hebben, waardoor de vertrouwelijkheid, integriteit of beschikbaarheid van het systeem mogelijk wordt aangetast. De CVSS is beoordeeld op 7.3, wat een matig hoog risico aangeeft. De publieke openbaarmaking van de kwetsbaarheid vergroot het risico op misbruik, en het gebrek aan reactie van het project verergert de situatie.
De SSRF-kwetsbaarheid wordt misbruikt door de source_urls parameter binnen de 'ws Endpoint' te manipuleren. Een aanvaller kan een kwaadaardige URL injecteren die verwijst naar een interne bron (zoals cloud-metadata of beheerdiensten) of een externe bron. De server zal bij het verwerken van deze URL het verzoek namens de aanvaller uitvoeren, waardoor deze toegang krijgt tot informatie of acties kan uitvoeren die normaal gesproken zouden zijn beperkt. De publieke openbaarmaking van de kwetsbaarheid betekent dat exploitcode beschikbaar kan zijn, waardoor het risico op geautomatiseerde aanvallen toeneemt. Het gebrek aan reactie van de ontwikkelaar impliceert dat er geen onmiddellijke fix beschikbaar is, wat proactieve mitigatiemaatregelen vereist.
Organizations using gpt-researcher in their Node.js applications, particularly those exposing the ws endpoint to external networks, are at risk. This includes developers integrating gpt-researcher into custom applications and those relying on it as a dependency in larger projects. The lack of response from the project maintainers increases the risk, as timely security updates are unlikely.
• nodejs: Use npm audit to check for vulnerabilities in your project dependencies. Look for gpt-researcher versions prior to a potential patch.
npm audit gpt-researcher• generic web: Monitor access logs for requests to the ws endpoint with unusual or internal URLs.
grep 'ws endpoint' access.log | grep 'internal.domain'disclosure
Exploit Status
EPSS
0.05% (17% percentiel)
CISA SSVC
CVSS-vector
Aangezien het gpt-researcher project geen oplossing heeft geleverd, omvat de onmiddellijke mitigatie het vermijden van het gebruik van gpt-researcher in versies vóór 3.4.3. Als de bibliotheek essentieel is, moeten robuuste invoervalidatiecontroles worden geïmplementeerd voor het source_urls argument, waarbij toegestane URL's worden beperkt tot een whitelijst. Bovendien moeten firewalls en netwerkregels worden geconfigureerd om de toegang tot interne bronnen vanaf de server te beperken. Actieve monitoring van serverlogs op ongebruikelijke verkeerspatronen kan helpen bij het detecteren en reageren op potentiële SSRF-aanvallen. Het wordt ten zeerste aanbevolen om het project te contacteren om de publicatie van een beveiligingsupdate te stimuleren.
Werk bij naar een beveiligde versie van (gpt-researcher). De ontwikkelaar heeft niet gereageerd op het kwetsbaarheidsrapport, dus het wordt aanbevolen om te controleren of er alternatieve versies of (workarounds) beschikbaar zijn.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SSRF (Server-Side Request Forgery) is een kwetsbaarheid die een aanvaller in staat stelt de server te laten verzoeken naar bronnen waarvoor deze normaal gesproken geen toegang zou moeten hebben, zowel intern als extern.
Het stelt aanvallers in staat om toegang te krijgen tot gevoelige informatie, commando's op de server uit te voeren of zelfs andere systemen die met het netwerk verbonden zijn te compromitteren.
Vermijd het gebruik van versies vóór 3.4.3. Implementeer invoervalidatie en netwerkcontroles. Bewaak serverlogs.
Momenteel heeft het project niet gereageerd op de openbaarmaking van de kwetsbaarheid. Het wordt aanbevolen om contact met hen op te nemen om een oplossing te stimuleren.
Raadpleeg de CVE-2026-5633-entry in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD) voor actuele informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.