平台
nodejs
组件
gpt-researcher
修复版本
3.4.1
3.4.2
3.4.3
3.4.4
gpt-researcher 是一个用于研究大型语言模型的工具。CVE-2026-5633 描述了该组件中一个服务器端请求伪造 (SSRF) 漏洞,影响版本 3.4.0 到 3.4.3。攻击者可以通过操纵 source_urls 参数来利用此漏洞,可能导致敏感信息泄露或恶意请求。目前,项目维护者尚未响应此问题。
此 SSRF 漏洞允许攻击者利用 gpt-researcher 组件发起未经授权的请求到内部或外部资源。攻击者可以利用此漏洞访问内部网络服务,读取敏感数据,甚至执行恶意代码。由于攻击可以远程发起,且漏洞已公开披露,因此潜在的风险很高。攻击者可能利用此漏洞扫描内部网络,寻找其他易受攻击的目标,从而实现横向移动。如果 gpt-researcher 组件与数据库或其他敏感系统集成,则攻击者可能能够访问这些系统中的数据。
该漏洞已公开披露,且存在公开的利用方法。目前尚无关于该漏洞被积极利用的公开报告,但由于漏洞的严重性和易利用性,存在被利用的风险。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。建议尽快采取缓解措施。
Organizations using gpt-researcher in their Node.js applications, particularly those exposing the ws endpoint to external networks, are at risk. This includes developers integrating gpt-researcher into custom applications and those relying on it as a dependency in larger projects. The lack of response from the project maintainers increases the risk, as timely security updates are unlikely.
• nodejs: Use npm audit to check for vulnerabilities in your project dependencies. Look for gpt-researcher versions prior to a potential patch.
npm audit gpt-researcher• generic web: Monitor access logs for requests to the ws endpoint with unusual or internal URLs.
grep 'ws endpoint' access.log | grep 'internal.domain'disclosure
漏洞利用状态
EPSS
0.05% (17% 百分位)
CISA SSVC
由于项目维护者尚未提供官方修复,建议采取以下缓解措施。首先,如果可能,应限制 gpt-researcher 组件的网络访问权限,只允许其访问必要的资源。其次,可以实施输入验证,过滤或清理 source_urls 参数,防止攻击者注入恶意 URL。此外,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来检测和阻止 SSRF 攻击。由于漏洞已公开披露,建议密切监控系统日志,寻找异常活动。
升级到 gpt-researcher 的修复版本。开发者尚未回复漏洞报告,建议检查是否有替代版本或替代方案可用。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-5633 是 gpt-researcher 3.4.0–3.4.3 版本中发现的一个服务器端请求伪造 (SSRF) 漏洞,攻击者可以通过操纵 source_urls 参数发起未经授权的请求。
如果您正在使用 gpt-researcher 的 3.4.0 到 3.4.3 版本,则可能受到此漏洞的影响。请尽快采取缓解措施。
由于项目维护者尚未提供官方修复,建议限制网络访问权限、实施输入验证或使用 WAF 等缓解措施。
目前尚无关于该漏洞被积极利用的公开报告,但由于漏洞的严重性和易利用性,存在被利用的风险。
由于项目维护者尚未响应,目前没有官方公告。请关注相关安全社区和漏洞跟踪网站。
CVSS 向量