Новости: cve-2025-64496

Исследователи Cato Networks выявили критическую уязвимость CVE-2025-64496 в Open WebUI, самостоятельном интерфейсе для LLM. Небезопасная обработка Server-Sent Events (SSE) через функцию «Прямые соединения» позволяет злоумышленникам внедрять JavaScript, красть JWT-токены и захватывать сессии. При наличии прав возможна эскалация до RCE.

Обнаружена критическая уязвимость в Open WebUI, позволяющая злоумышленникам перехватывать AI-задачи через Direct Connections. CVE-2025-64496 связана с небезопасной обработкой SSE, что ведет к захвату аккаунтов и удаленному выполнению кода. Обновитесь до v0.6.35!