- Open WebUIには、Direct Connection機能における重大度の高いコードインジェクション欠陥(CVE-2025-64496)が存在していた
- 悪意あるモデルURLとFunctions APIの連鎖により、アカウント乗っ取りやRCEが可能になる恐れがある
- パッチv0.6.35でミドルウェアによる保護を追加。ユーザーにはDirect Connectionsの制限とツール権限の監視が推奨される
ローカルまたはリモートのAI言語モデルとやり取りするためのオープンソースのセルフホスト型WebインターフェースであるOpen WebUIには、アカウント乗っ取りを可能にし、場合によってはリモートコード実行(RCE)も可能にする重大度の高い脆弱性が存在していました。
これは、Cato CTRLのシニアセキュリティリサーチャーであるVitaly Simonovich氏が、2025年10月に開示した脆弱性に関するもので、現在はCVE-2025-64496として追跡されています。
深刻度スコア8.0/10(高)と評価されたこのバグは、Direct Connection機能におけるコードインジェクションの欠陥と説明されており、Server-Sent Event(SSE)のexecuteイベントを介して、脅威アクターがブラウザ上で任意のJavaScriptを実行できるようになります。
ユーザーにパッチ適用を呼びかけ
Direct Connectionsは、カスタムAPIエンドポイントを指定することで、外部のOpenAI互換モデルサーバーにインターフェースを直接接続できるようにする機能です。
この欠陥を悪用すると、脅威アクターはトークンを盗み、侵害されたアカウントを完全に乗っ取ることができます。さらにそれをFunctions APIと連鎖させることで、バックエンドサーバー上でのリモートコード実行につながる可能性があります。
NVDによれば、不幸中の幸いなのは、被害者がまず(デフォルトでは無効になっている)Direct Connectionsを有効化し、攻撃者の悪意あるモデルURLを追加する必要がある点です。ただし後者は、ソーシャルエンジニアリングによって比較的容易に達成され得ます。
影響を受けるバージョンにはv0.6.34以前が含まれ、ユーザーには0.6.35以降へのパッチ適用が推奨されています。Catoによると、この修正ではミドルウェアを追加し、Direct ConnectionサーバーからのSSEの実行をブロックします。
さらに研究者らは、外部AIサーバーへの接続はサードパーティコードと同様に扱うべきであり、その観点から、Direct Connectionsは適切に精査されたサービスにのみ限定すべきだとも述べています。
最後に、ユーザーはworkspace.toolsの権限も必要最小限のユーザーに限定し、不審なツール作成がないか監視すべきです。「これは、信頼できないモデルサーバーと信頼されたブラウザコンテキストの間における典型的な信頼境界の破綻です」とCatoは結論づけました。
