Plataforma
nodejs
Componente
gpt-researcher
Corrigido em
3.4.1
3.4.2
3.4.3
3.4.4
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi identificada no componente gpt-researcher, afetando as versões de 3.4.0 a 3.4.3. Essa falha permite que um atacante manipule o argumento source_urls na função ws Endpoint, possibilitando requisições não autorizadas para recursos internos do servidor. A exploração é possível remotamente e já foi divulgada publicamente, representando um risco significativo para a segurança dos sistemas que utilizam essa biblioteca.
A exploração bem-sucedida desta vulnerabilidade SSRF permite que um atacante realize requisições para qualquer recurso acessível pelo servidor gpt-researcher, mesmo que esses recursos estejam protegidos por firewalls ou outras medidas de segurança. Isso pode levar ao acesso não autorizado a dados sensíveis, como arquivos de configuração, credenciais de banco de dados ou informações de outros serviços internos. Além disso, um atacante pode usar a vulnerabilidade para escanear a rede interna em busca de outros sistemas vulneráveis, facilitando o movimento lateral e ampliando o impacto do ataque. A divulgação pública do exploit aumenta o risco de exploração em larga escala.
A vulnerabilidade foi divulgada publicamente em 06 de abril de 2026, e um Proof of Concept (PoC) já está disponível, indicando uma alta probabilidade de exploração. A ausência de resposta do projeto gpt-researcher aumenta a urgência da mitigação. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação, mas a probabilidade de inclusão é alta devido à divulgação pública e à disponibilidade de um PoC.
Organizations using gpt-researcher in their Node.js applications, particularly those exposing the ws endpoint to external networks, are at risk. This includes developers integrating gpt-researcher into custom applications and those relying on it as a dependency in larger projects. The lack of response from the project maintainers increases the risk, as timely security updates are unlikely.
• nodejs: Use npm audit to check for vulnerabilities in your project dependencies. Look for gpt-researcher versions prior to a potential patch.
npm audit gpt-researcher• generic web: Monitor access logs for requests to the ws endpoint with unusual or internal URLs.
grep 'ws endpoint' access.log | grep 'internal.domain'disclosure
Status do Exploit
EPSS
0.05% (percentil 17%)
CISA SSVC
Vetor CVSS
Como a correção oficial ainda não foi disponibilizada pelo projeto, a mitigação imediata envolve a implementação de controles de acesso rigorosos para restringir o acesso ao componente gpt-researcher. Utilize um Web Application Firewall (WAF) ou proxy reverso para filtrar requisições maliciosas e bloquear tentativas de exploração. Implemente validação estrita dos dados de entrada, especialmente o argumento source_urls, para evitar a manipulação por parte de atacantes. Considere a implementação de regras de firewall para restringir o acesso à rede interna a partir do servidor gpt-researcher. Monitore os logs do servidor em busca de atividades suspeitas, como requisições para recursos inesperados.
Atualize para uma versão corrigida de gpt-researcher. O desenvolvedor não respondeu ao relatório de vulnerabilidade, portanto, recomenda-se verificar se existem versões alternativas ou soluções alternativas disponíveis.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5633 is a server-side request forgery vulnerability in gpt-researcher versions 3.4.0–3.4.3, allowing attackers to manipulate URLs and potentially access internal resources.
If you are using gpt-researcher versions 3.4.0 through 3.4.3, you are potentially affected by this SSRF vulnerability. Check your dependencies immediately.
Upgrade to a patched version of gpt-researcher as soon as one is available. Until then, implement input validation and consider using a WAF to mitigate the risk.
The vulnerability is publicly disclosed, increasing the risk of exploitation. Monitor security advisories and threat intelligence for any signs of active campaigns.
As of the current date, there is no official advisory from the gpt-researcher project. Monitor the project's repository and communication channels for updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.