Open WebUIに影響を与える深刻なセキュリティ脆弱性が発見されました。これはユーザーをアカウント乗っ取り(ATO)の危険にさらし、場合によってはサーバー全体の侵害につながる可能性があります。
CVE-2025-64496として追跡されているこの脆弱性はCato Networksの研究者によって発見されました。Direct Connections機能が有効な場合、Open WebUIバージョン0.6.34以前に影響を与えます。この問題の深刻度は10中7.3です。
脆弱性はDirect Connectionsに存在しており、これはユーザーがOpen WebUIを外部のOpenAI互換モデルサーバーにリンクできる機能です。柔軟性と自ホスト型AIワークフローをサポートするために設計されていますが、ユーザーが正当なAIエンドポイントになりすまそうとする悪意のあるサーバーに接続することを説得された場合、この機能は悪用される可能性があります。
その根本にある欠陥は、信頼されていないモデルサーバーとユーザーのブラウザセッション間の信頼の失敗から生じています。悪意のあるサーバーは、ブラウザでJavaScriptコードの実行をトリガーする細工されたサーバーセントイベントメッセージを送信できます。これにより、攻撃者はlocalStorageに保存されている認証トークンを盗むことができます。
一度取得されると、それらのトークンは被害者のOpen WebUIアカウントへの完全なアクセスを許可します。チャット、アップロードされたドキュメント、およびAPIキーはすべて露出する可能性があります。
Open WebUIバックエンド自体は、侵害されたユーザーが昇格されたアクセス権限を保有しない限り、安全なままです。
結果はユーザーの権限に応じて異なります:
-
JSONウェブトークンの盗難とセッションハイジャック
-
チャット履歴やアップロードされたファイルへのアクセスを含む、アカウント全体の侵害
-
会話で共有された機密認証情報の露出
-
ユーザーがworkspace.tools権限を有効にしている場合のリモートコード実行(RCE)
APIセキュリティについて詳しく読む:API脅威が1H 2025で40,000インシデントへ増加
この問題は2025年10月にOpen WebUIの保守者に報告され、パッチ検証とCVE割り当ての後、2025年11月7日に公開されました。
Open WebUIバージョン0.6.35以降は悪意のある実行イベントをブロックし、ユーザーが直面するリスクに対処しています。
“Open WebUIのパッチはv0.6.35以降のバージョンに対して効果的であり、ユーザーが直面するDirect Connections脆弱性を解決します” Cato Networksが述べました。
“しかし、組織はまだ認証を強化し、サンドボックス拡張性を強化し、特定のリソースへのアクセスを制限する必要があります。”
翻訳元: https://www.infosecurity-magazine.com/news/flaw-open-webui-affects-ai/
