Platform
nodejs
Component
openai-realtime-ui
Opgelost in
188.0.1
CVE-2026-5803 identificeert een beveiligingslek in openai-realtime-ui, specifiek in de API Proxy Endpoint. Een aanvaller kan een server-side request forgery (SSRF) uitvoeren door argumenten van de Query te manipuleren. Dit lek kan op afstand worden misbruikt en er is een publiek exploit beschikbaar. Omdat het product continu wordt bijgewerkt, zijn er geen specifieke versie details beschikbaar. Een patch is beschikbaar.
Een Server-Side Request Forgery (SSRF) kwetsbaarheid is ontdekt in openai-realtime-ui, specifiek in de API Proxy Endpoint in het server.js bestand, die versies tot 188ccde27fdf3d8fab8da81f3893468f53b2797c beïnvloedt. Deze kwetsbaarheid stelt een externe aanvaller in staat om het 'Query' argument te manipuleren om verzoeken naar interne of externe resources via de server te sturen, waardoor potentieel gevoelige informatie wordt blootgelegd of ongeautoriseerde acties worden mogelijk gemaakt. De publieke beschikbaarheid van de exploit en het gebruik van continue levering met rolling releases door het product verhogen het risico op actieve aanvallen. De ernst van de kwetsbaarheid is beoordeeld als CVSS 6.3, wat een matig tot hoog risico aangeeft.
De SSRF-kwetsbaarheid wordt uitgebuit door het manipuleren van het 'Query' argument in de API Proxy Endpoint. Een aanvaller kan kwaadaardige URL's injecteren die de server zal gebruiken om verzoeken naar andere systemen te sturen. Dit kan toegang tot interne resources mogelijk maken die normaal gesproken niet van buitenaf toegankelijk zijn, zoals databases, beheerdersservers of cloudservices. De publieke beschikbaarheid van de exploit vergemakkelijkt het gebruik ervan door aanvallers met verschillende technische vaardigheden. Het gebruik van continue deployments betekent dat de kwetsbaarheid mogelijk aanwezig is in veel productie-instanties, waardoor het aanvalsoppervlak wordt vergroot.
Organizations utilizing openai-realtime-ui in production environments, particularly those with sensitive internal services accessible via the API Proxy Endpoint, are at risk. Environments with limited network segmentation or inadequate input validation are especially vulnerable.
• nodejs: Monitor process arguments for suspicious URLs being passed to the API Proxy Endpoint. Use ps aux | grep openai-realtime-ui to identify running processes and examine their command-line arguments.
ps aux | grep openai-realtime-ui | grep 'your_malicious_url'• generic web: Examine access and error logs for requests to unusual or internal URLs originating from the API Proxy Endpoint. Look for patterns indicative of SSRF attempts.
grep 'your_malicious_url' /var/log/nginx/access.logdisclosure
poc
Exploit Status
EPSS
0.05% (14% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om te upgraden naar de nieuwste beschikbare versie van openai-realtime-ui, die de correctie bevat die is geïmplementeerd in commit 54f8f50f43af97c334a881af7b021e84b5b8310f. Tijdens het upgraden wordt aanbevolen om mitigerende maatregelen te implementeren, zoals het beperken van de toegang tot de API Proxy Endpoint, het streng valideren en opschonen van gebruikersinvoer en het gebruik van webapplicatiefirewalls (WAF's) om kwaadaardig verkeer te filteren. Het is cruciaal om serverlogs te bewaken op verdachte activiteiten en het principe van minimale privileges toe te passen om de potentiële impact van een succesvolle exploitatie te beperken. Vanwege de aard van continue updates is het belangrijk om een efficiënt patch management proces in te stellen om de tijdige toepassing van beveiligingsfixes te garanderen.
Instala la versión parcheada 54f8f50f43af97c334a881af7b021e84b5b8310f para mitigar la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF). Revisa la documentación del proyecto para obtener instrucciones específicas de actualización. Asegúrate de que todas las dependencias estén actualizadas para evitar posibles problemas de compatibilidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SSRF (Server-Side Request Forgery) is een kwetsbaarheid die een aanvaller in staat stelt de server te laten verzoeken naar resources die de aanvaller controleert, waardoor potentieel gevoelige informatie wordt blootgelegd of ongeautoriseerde acties worden mogelijk gemaakt.
Als u een versie van openai-realtime-ui gebruikt die ouder is dan de versie met de correctie (commit 54f8f50f43af97c334a881af7b021e84b5b8310f), is de kans groot dat u getroffen bent.
Implementeer mitigerende maatregelen zoals het beperken van de toegang, het valideren van gebruikersinvoer en het gebruik van een WAF.
Ja, de exploit is publiekelijk vrijgegeven, waardoor het risico op aanvallen toeneemt.
Controleer de serverlogs op ongebruikelijke verzoeken of verkeer naar onverwachte interne resources.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.