Open WebUI出现高危漏洞，免费模型或成企业后门

安全研究人员发现Open WebUI存在一个高危漏洞，该平台是一个自托管的大语言模型企业界面。这个漏洞编号为CVE-2025-64496，允许通过直连功能连接的外部模型服务器注入恶意代码并劫持AI工作负载。

漏洞产生的原因

该漏洞源于对服务器发送事件（SSE）的不安全处理，可能导致账户被接管，在某些具有扩展权限的情况下，还可能在后端服务器上执行远程代码。

根据Cato CTRL的研究发现，如果员工在"免费GPT-4替代方案"等借口下，将Open WebUI连接到攻击者控制的模型端点，前端可能被欺骗悄悄执行注入的JavaScript代码。该代码会从浏览器上下文中窃取JSON Web令牌（JWT），为攻击者提供对受害者AI工作空间、文档、聊天记录和嵌入式API密钥的持久访问权限。

受影响版本及修复方案

该漏洞影响Open WebUI 0.6.34及之前的所有版本，已在v0.6.35版本中修复。企业用户应立即对生产部署进行补丁更新。

Cato研究人员表示，问题出现在直连功能上，该功能旨在让用户将Open WebUI连接到外部的OpenAI兼容模型服务器。平台的SSE处理器信任来自这些服务器的传入事件，特别是标记为"{type: execute}"的事件，并通过动态JavaScript构造器执行其载荷。

当用户通过社会工程手段连接到恶意服务器时，该服务器可以流式传输包含可执行JavaScript的SSE。该脚本可以完全访问浏览器的存储层，包括用于身份验证的JWT。

攻击机制分析

Cato研究人员在博客文章中指出："Open WebUI将JWT令牌存储在localStorage中，页面上运行的任何脚本都可以访问它。令牌默认情况下是长期有效的，缺乏HttpOnly属性，并且是跨标签页的。当与执行事件结合时，这为账户接管创造了机会。"

根据NVD描述，该攻击需要受害者启用直连功能（默认情况下是禁用的）并添加攻击者的恶意模型URL。

风险扩大可能性

风险不仅仅停留在账户接管层面。如果被攻击的账户具有workspace.tools权限，攻击者可以利用该会话令牌通过Open WebUI的工具API推送经过身份验证的Python代码，该代码在没有沙箱或验证的情况下执行。

这将浏览器级别的攻击转变为后端服务器上的完整远程代码执行。一旦攻击者获得Python执行权限，他们就可以安装持久化机制，渗透到内部网络，访问敏感数据存储，或发起横向攻击。

安全评级和修复建议

该漏洞在NVD中获得了8分（满分10分）的高严重性评级，在GitHub中获得了7.3分的基础评分。该漏洞被评为高危而非严重，反映了利用该漏洞需要启用直连功能，并且需要用户首先被诱骗连接到恶意外部模型服务器的事实。

Open WebUI v0.6.35中的补丁缓解措施包括完全阻止来自直连的"execute"SSE事件，但任何仍在使用旧版本的组织都面临风险。此外，研究人员建议将身份验证迁移到具有轮换机制的短期HttpOnly cookie。他们补充说："与严格的CSP配对，禁止动态代码评估。"

Q&A

Q1：CVE-2025-64496漏洞是什么？

A：这是Open WebUI中发现的一个高危安全漏洞，允许外部模型服务器通过直连功能注入恶意代码并劫持AI工作负载。该漏洞源于对服务器发送事件的不安全处理，可能导致账户被接管或远程代码执行。

Q2：哪些版本的Open WebUI受到影响？

A：该漏洞影响Open WebUI 0.6.34及之前的所有版本。漏洞已在v0.6.35版本中修复，企业用户应立即对生产部署进行补丁更新。

Q3：如何防范这个安全漏洞？

A：首先应立即升级到Open WebUI v0.6.35或更高版本。其次，谨慎使用直连功能，避免连接不可信的外部模型服务器。研究人员还建议将身份验证迁移到短期HttpOnly cookie，并实施严格的内容安全策略。