MEDIUMCVE-2026-5803CVSS 6.3

openai-realtime-ui 漏洞 CVE-2026-5803: SSRF 风险

平台

nodejs

组件

openai-realtime-ui

修复版本

188.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-5803 是 bigsk1 openai-realtime-ui 组件中发现的一个安全漏洞。该漏洞影响版本小于或等于 188ccde27fdf3d8fab8da81f3893468f53b2797c 的系统，攻击者可以通过操纵 API Proxy Endpoint 的查询参数触发服务器端请求伪造 (SSRF)。由于该产品采用持续交付和滚动发布模式，因此没有受影响或更新版本的具体信息。该漏洞已公开，可能被用于攻击。

影响与攻击场景

在 openai-realtime-ui 的版本中发现了一个服务器端请求伪造 (SSRF) 漏洞，具体位于 server.js 文件中的 API Proxy Endpoint，影响版本高达 188ccde27fdf3d8fab8da81f3893468f53b2797c。此漏洞允许远程攻击者操纵 'Query' 参数，通过服务器向内部或外部资源发送请求，从而可能泄露敏感信息或允许未经授权的操作。漏洞利用程序的公开可用性以及产品采用持续交付和滚动发布的方式增加了主动攻击的风险。该漏洞的严重程度被评为 CVSS 6.3，表明中等到高度风险。

利用背景

通过操纵 API Proxy Endpoint 中的 'Query' 参数来利用 SSRF 漏洞。攻击者可以注入恶意 URL，服务器将使用这些 URL 向其他系统发送请求。这可以允许访问通常无法从外部访问的内部资源，例如数据库、管理服务器或云服务。漏洞利用程序的公开可用性使其易于攻击者使用，攻击者具有不同的技术技能。使用持续部署意味着该漏洞可能存在于许多生产实例中，从而扩大了攻击面。

哪些人处于风险中翻译中…

Organizations utilizing openai-realtime-ui in production environments, particularly those with sensitive internal services accessible via the API Proxy Endpoint, are at risk. Environments with limited network segmentation or inadequate input validation are especially vulnerable.

检测步骤翻译中…

• nodejs: Monitor process arguments for suspicious URLs being passed to the API Proxy Endpoint. Use ps aux | grep openai-realtime-ui to identify running processes and examine their command-line arguments.

ps aux | grep openai-realtime-ui | grep 'your_malicious_url'

• generic web: Examine access and error logs for requests to unusual or internal URLs originating from the API Proxy Endpoint. Look for patterns indicative of SSRF attempts.

grep 'your_malicious_url' /var/log/nginx/access.log

攻击时间线

2026-04-08Disclosure
disclosure
2026-04-08PoC
poc

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.05% (14% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件openai-realtime-ui

供应商bigsk1

影响范围修复版本

188ccde27fdf3d8fab8da81f3893468f53b2797c – 188ccde27fdf3d8fab8da81f3893468f53b2797c188.0.1

弱点分类 (CWE)

CWE-918

时间线

已保留2026-04-08
发布日期2026-04-08
修改日期2026-04-09
EPSS 更新日期2026-04-16

缓解措施和替代方案

建议的解决方案是更新到 openai-realtime-ui 的最新可用版本，其中包含在 commit 54f8f50f43af97c334a881af7b021e84b5b8310f 中实施的修复程序。在执行更新时，建议实施缓解措施，例如限制对 API Proxy Endpoint 的访问、严格验证和清理用户输入，以及使用 Web 应用程序防火墙 (WAF) 来过滤恶意流量。监控服务器日志以查找可疑活动并应用最小权限原则至关重要，以最大限度地减少成功利用的潜在影响。由于持续更新的性质，建立有效的补丁管理流程对于确保及时应用安全修复至关重要。

修复方法翻译中…

Instala la versión parcheada 54f8f50f43af97c334a881af7b021e84b5b8310f para mitigar la vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF).  Revisa la documentación del proyecto para obtener instrucciones específicas de actualización.  Asegúrate de que todas las dependencias estén actualizadas para evitar posibles problemas de compatibilidad.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5803 是什么 — openai-realtime-ui 中的漏洞？

SSRF (Server-Side Request Forgery) 是一种漏洞，允许攻击者使服务器向攻击者控制的资源发送请求，从而可能泄露敏感信息或允许未经授权的操作。

openai-realtime-ui 中的 CVE-2026-5803 是否会影响我？

如果您使用的 openai-realtime-ui 版本早于包含修复程序的版本 (commit 54f8f50f43af97c334a881af7b021e84b5b8310f)，则很可能受到影响。

如何修复 openai-realtime-ui 中的 CVE-2026-5803？

实施缓解措施，例如限制访问、验证用户输入和使用 WAF。

CVE-2026-5803 是否正在被积极利用？

是的，漏洞利用程序已公开，从而增加了攻击的风险。

在哪里可以找到 openai-realtime-ui 关于 CVE-2026-5803 的官方安全通告？

检查服务器日志，查找异常请求或对意外内部资源的流量。