安全研究人员发现Open WebUI存在一个高危漏洞,该平台是一个自托管的大语言模型企业界面。这个漏洞编号为CVE-2025-64496,允许通过直连功能连接的外部模型服务器注入恶意代码并劫持AI工作负载。
漏洞产生的原因
该漏洞源于对服务器发送事件(SSE)的不安全处理,可能导致账户被接管,在某些具有扩展权限的情况下,还可能在后端服务器上执行远程代码。
根据Cato CTRL的研究发现,如果员工在"免费GPT-4替代方案"等借口下,将Open WebUI连接到攻击者控制的模型端点,前端可能被欺骗悄悄执行注入的JavaScript代码。该代码会从浏览器上下文中窃取JSON Web令牌(JWT),为攻击者提供对受害者AI工作空间、文档、聊天记录和嵌入式API密钥的持久访问权限。
受影响版本及修复方案
该漏洞影响Open WebUI 0.6.34及之前的所有版本,已在v0.6.35版本中修复。企业用户应立即对生产部署进行补丁更新。
Cato研究人员表示,问题出现在直连功能上,该功能旨在让用户将Open WebUI连接到外部的OpenAI兼容模型服务器。平台的SSE处理器信任来自这些服务器的传入事件,特别是标记为"{type: execute}"的事件,并通过动态JavaScript构造器执行其载荷。
当用户通过社会工程手段连接到恶意服务器时,该服务器可以流式传输包含可执行JavaScript的SSE。该脚本可以完全访问浏览器的存储层,包括用于身份验证的JWT。
攻击机制分析
Cato研究人员在博客文章中指出:"Open WebUI将JWT令牌存储在localStorage中,页面上运行的任何脚本都可以访问它。令牌默认情况下是长期有效的,缺乏HttpOnly属性,并且是跨标签页的。当与执行事件结合时,这为账户接管创造了机会。"
根据NVD描述,该攻击需要受害者启用直连功能(默认情况下是禁用的)并添加攻击者的恶意模型URL。
风险扩大可能性
风险不仅仅停留在账户接管层面。如果被攻击的账户具有workspace.tools权限,攻击者可以利用该会话令牌通过Open WebUI的工具API推送经过身份验证的Python代码,该代码在没有沙箱或验证的情况下执行。
这将浏览器级别的攻击转变为后端服务器上的完整远程代码执行。一旦攻击者获得Python执行权限,他们就可以安装持久化机制,渗透到内部网络,访问敏感数据存储,或发起横向攻击。
安全评级和修复建议
该漏洞在NVD中获得了8分(满分10分)的高严重性评级,在GitHub中获得了7.3分的基础评分。该漏洞被评为高危而非严重,反映了利用该漏洞需要启用直连功能,并且需要用户首先被诱骗连接到恶意外部模型服务器的事实。
Open WebUI v0.6.35中的补丁缓解措施包括完全阻止来自直连的"execute"SSE事件,但任何仍在使用旧版本的组织都面临风险。此外,研究人员建议将身份验证迁移到具有轮换机制的短期HttpOnly cookie。他们补充说:"与严格的CSP配对,禁止动态代码评估。"
Q&A
Q1:CVE-2025-64496漏洞是什么?
A:这是Open WebUI中发现的一个高危安全漏洞,允许外部模型服务器通过直连功能注入恶意代码并劫持AI工作负载。该漏洞源于对服务器发送事件的不安全处理,可能导致账户被接管或远程代码执行。
Q2:哪些版本的Open WebUI受到影响?
A:该漏洞影响Open WebUI 0.6.34及之前的所有版本。漏洞已在v0.6.35版本中修复,企业用户应立即对生产部署进行补丁更新。
Q3:如何防范这个安全漏洞?
A:首先应立即升级到Open WebUI v0.6.35或更高版本。其次,谨慎使用直连功能,避免连接不可信的外部模型服务器。研究人员还建议将身份验证迁移到短期HttpOnly cookie,并实施严格的内容安全策略。
