Gratis scannen
MEDIUMCVE-2026-5803CVSS 6.3

bigsk1 openai-realtime-ui API Proxy Endpoint server.js server-side request forgery

Platform

nodejs

Component

openai-realtime-ui

Opgelost in

188.0.1

AI Confidence: highNVDEPSS 0.0%Beoordeeld: mei 2026
Bekijk op NVD
Opslaan

CVE-2026-5803 identificeert een beveiligingslek in openai-realtime-ui, specifiek in de API Proxy Endpoint. Een aanvaller kan een server-side request forgery (SSRF) uitvoeren door argumenten van de Query te manipuleren. Dit lek kan op afstand worden misbruikt en er is een publiek exploit beschikbaar. Omdat het product continu wordt bijgewerkt, zijn er geen specifieke versie details beschikbaar. Een patch is beschikbaar.

Impact en Aanvalsscenarios

Een Server-Side Request Forgery (SSRF) kwetsbaarheid is ontdekt in openai-realtime-ui, specifiek in de API Proxy Endpoint in het server.js bestand, die versies tot 188ccde27fdf3d8fab8da81f3893468f53b2797c beïnvloedt. Deze kwetsbaarheid stelt een externe aanvaller in staat om het 'Query' argument te manipuleren om verzoeken naar interne of externe resources via de server te sturen, waardoor potentieel gevoelige informatie wordt blootgelegd of ongeautoriseerde acties worden mogelijk gemaakt. De publieke beschikbaarheid van de exploit en het gebruik van continue levering met rolling releases door het product verhogen het risico op actieve aanvallen. De ernst van de kwetsbaarheid is beoordeeld als CVSS 6.3, wat een matig tot hoog risico aangeeft.

Uitbuitingscontext

De SSRF-kwetsbaarheid wordt uitgebuit door het manipuleren van het 'Query' argument in de API Proxy Endpoint. Een aanvaller kan kwaadaardige URL's injecteren die de server zal gebruiken om verzoeken naar andere systemen te sturen. Dit kan toegang tot interne resources mogelijk maken die normaal gesproken niet van buitenaf toegankelijk zijn, zoals databases, beheerdersservers of cloudservices. De publieke beschikbaarheid van de exploit vergemakkelijkt het gebruik ervan door aanvallers met verschillende technische vaardigheden. Het gebruik van continue deployments betekent dat de kwetsbaarheid mogelijk aanwezig is in veel productie-instanties, waardoor het aanvalsoppervlak wordt vergroot.

Wie Loopt Risicowordt vertaald…

Organizations utilizing openai-realtime-ui in production environments, particularly those with sensitive internal services accessible via the API Proxy Endpoint, are at risk. Environments with limited network segmentation or inadequate input validation are especially vulnerable.

Detectiestappenwordt vertaald…

• nodejs: Monitor process arguments for suspicious URLs being passed to the API Proxy Endpoint. Use ps aux | grep openai-realtime-ui to identify running processes and examine their command-line arguments.

ps aux | grep openai-realtime-ui | grep 'your_malicious_url'

• generic web: Examine access and error logs for requests to unusual or internal URLs originating from the API Proxy Endpoint. Look for patterns indicative of SSRF attempts.

grep 'your_malicious_url' /var/log/nginx/access.log

Aanvalstijdlijn

  1. Disclosure

    disclosure

  2. PoC

    poc

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

EPSS

0.05% (14% percentiel)

CISA SSVC

Exploitatiepoc
Automatiseerbaarno
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:O/RC:C6.3MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityLowRisico op blootstelling van gevoelige dataIntegrityLowRisico op ongeautoriseerde gegevenswijzigingAvailabilityLowRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity
Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
Availability
Laag — gedeeltelijke of intermitterende denial of service.

Getroffen Software

Componentopenai-realtime-ui
Leverancierbigsk1
Getroffen bereikOpgelost in
188ccde27fdf3d8fab8da81f3893468f53b2797c – 188ccde27fdf3d8fab8da81f3893468f53b2797c188.0.1

Zwakheidsclassificatie (CWE)

CWE-918

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt

Mitigatie en Workarounds

De aanbevolen oplossing is om te upgraden naar de nieuwste beschikbare versie van openai-realtime-ui, die de correctie bevat die is geïmplementeerd in commit 54f8f50f43af97c334a881af7b021e84b5b8310f. Tijdens het upgraden wordt aanbevolen om mitigerende maatregelen te implementeren, zoals het beperken van de toegang tot de API Proxy Endpoint, het streng valideren en opschonen van gebruikersinvoer en het gebruik van webapplicatiefirewalls (WAF's) om kwaadaardig verkeer te filteren. Het is cruciaal om serverlogs te bewaken op verdachte activiteiten en het principe van minimale privileges toe te passen om de potentiële impact van een succesvolle exploitatie te beperken. Vanwege de aard van continue updates is het belangrijk om een efficiënt patch management proces in te stellen om de tijdige toepassing van beveiligingsfixes te garanderen.

Hoe te verhelpenwordt vertaald…

Instala la versión parcheada 54f8f50f43af97c334a881af7b021e84b5b8310f para mitigar la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF).  Revisa la documentación del proyecto para obtener instrucciones específicas de actualización.  Asegúrate de que todas las dependencias estén actualizadas para evitar posibles problemas de compatibilidad.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragen

Wat is CVE-2026-5803 in openai-realtime-ui?

SSRF (Server-Side Request Forgery) is een kwetsbaarheid die een aanvaller in staat stelt de server te laten verzoeken naar resources die de aanvaller controleert, waardoor potentieel gevoelige informatie wordt blootgelegd of ongeautoriseerde acties worden mogelijk gemaakt.

Ben ik getroffen door CVE-2026-5803 in openai-realtime-ui?

Als u een versie van openai-realtime-ui gebruikt die ouder is dan de versie met de correctie (commit 54f8f50f43af97c334a881af7b021e84b5b8310f), is de kans groot dat u getroffen bent.

Hoe los ik CVE-2026-5803 in openai-realtime-ui op?

Implementeer mitigerende maatregelen zoals het beperken van de toegang, het valideren van gebruikersinvoer en het gebruik van een WAF.

Wordt CVE-2026-5803 actief misbruikt?

Ja, de exploit is publiekelijk vrijgegeven, waardoor het risico op aanvallen toeneemt.

Waar vind ik het officiële openai-realtime-ui-beveiligingsadvies voor CVE-2026-5803?

Controleer de serverlogs op ongebruikelijke verzoeken of verkeer naar onverwachte interne resources.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken