このバグにより、攻撃者が制御するモデルサーバーがコードを注入し、セッショントークンを盗み、場合によっては企業向けAIバックエンドでリモートコード実行へと権限を昇格できる。
セキュリティ研究者は、大規模言語モデル向けのセルフホスト型エンタープライズインターフェースであるOpen WebUIにおける高深刻度の欠陥を指摘した。この欠陥により、Direct Connections機能を介して接続された外部モデルサーバーが悪意あるコードを注入し、AIワークロードを乗っ取ることが可能になる。
CVE-2025-64496として追跡されているこの問題は、サーバー送信イベント(SSE)の安全でない取り扱いに起因し、アカウント乗っ取りを可能にし、場合によっては拡張権限があるとバックエンドサーバー上でリモートコード実行(RCE) に至る。
Cato CTRLの調査結果によると、従業員が「無料のGPT-4代替」といった口実のもとで、Open WebUIを攻撃者が制御するモデルエンドポイントに接続すると、フロントエンドは注入されたJavaScriptを密かに実行するよう騙され得る。そのコードはブラウザコンテキストからJSON Web Token(JWT)を盗み、攻撃者に被害者のAIワークスペース、ドキュメント、チャット、埋め込みAPIキーへの永続的なアクセスを与える。
このバグは0.6.34までのOpen WebUIバージョンに影響し、v0.6.35で修正された。企業には本番環境の展開を遅滞なくパッチ適用するよう強く求められている。
利便性機能が危機へと変わる
Catoの研究者は述べたところによれば、問題はDirect Connectionsにある。これは、ユーザーがOpen WebUIを外部のOpenAI互換モデルサーバーに接続できるようにすることを意図した機能だ。プラットフォームのSSEハンドラーは、これらのサーバーから届くイベント、特に「{type: execute}」とタグ付けされたものを信頼し、動的なJavaScriptコンストラクターを介してそのペイロードを実行してしまう。
ユーザーが悪意あるサーバーに接続すると、ソーシャルエンジニアリングによって容易に誘導され得るが、そのサーバーは実行可能なJavaScriptを含むSSEをストリーミングできる。そのスクリプトは、認証に用いられるJWTを含むブラウザのストレージ層に完全にアクセスできる状態で実行される。
「Open WebUIはJWTトークンをlocalStorageに保存している」とCatoの研究者はブログ投稿で述べた。「ページ上で動作するあらゆるスクリプトがそれにアクセスできる。トークンはデフォルトで長寿命で、HttpOnlyがなく、タブ間で共有される。executeイベントと組み合わさると、アカウント乗っ取りの隙を生む。」
NVDの説明によれば、この攻撃は被害者が(デフォルトでは無効の)Direct Connectionsを有効化し、攻撃者の悪意あるモデルURLを追加することを必要とする。
リモートコード実行への権限昇格
リスクはアカウント乗っ取りにとどまらない。侵害されたアカウントにworkspace.tools権限がある場合、攻撃者はそのセッショントークンを悪用して、Open WebUIのTools APIを通じて認証済みのPythonコードを投入でき、これはサンドボックス化や検証なしに実行される。
これにより、ブラウザレベルの侵害がバックエンドサーバー上での完全なリモートコード実行へと変わる。攻撃者がPython実行を得れば、永続化メカニズムを導入し、内部ネットワークへ横展開し、機微なデータストアにアクセスし、あるいはラテラル攻撃を実行できる。
この欠陥はNVDにより基本スコア8/10の高深刻度評価を受け、GitHubでは基本スコア7.3/10だった。欠陥が致命的ではなく高と評価されたのは、悪用にDirect Connections機能の有効化が必要であり、まずユーザーが悪意ある外部モデルサーバーへの接続に誘い込まれることが前提となるためだ。Open WebUI v0.6.35でのパッチによる緩和策は、Direct Connectionsからの「execute」SSEイベントを完全にブロックすることだが、古いビルドのままの組織は依然として露出したままである。さらに研究者は、認証をローテーション付きの短寿命かつHttpOnlyなCookieへ移行することを助言した。「厳格なCSPと組み合わせ、動的なコード評価を禁止せよ」とも付け加えた。
