← voltar
CVE-2026-5631

assafelovic gpt-researcher ws Endpoint server_utils.py extract_command_data code injection

CVSS 6.9 MEDIUMEPSS 0.3%CWE-74CWE-94
Vexday Risk Score
33Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 6.9EPSS 0.3%KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
06 abr 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
A vulnerability has been found in assafelovic gpt-researcher up to 3.4.3. This affects the function extract_command_data of the file backend/server/server_utils.py of the component ws Endpoint. Such manipulation of the argument args leads to code injection. The attack may be performed from remote. The exploit has been disclosed to the public and may be used. The project was informed of the problem early through an issue report but has not responded yet.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.