Исследователи в области безопасности обнаружили серьезную уязвимость в Open WebUI, самостоятельно размещаемом корпоративном интерфейсе для больших языковых моделей, которая позволяет внешним серверам моделей, подключенным через функцию Direct Connections, внедрять вредоносный код и перехватывать управление AI-задачами.
Проблема, отслеживаемая как CVE-2025-64496, связана с небезопасной обработкой событий, отправляемых сервером (SSE), что позволяет захватывать учетные записи и, в некоторых случаях, при наличии расширенных разрешений, удаленно выполнять код (RCE) на внутренних серверах.
Согласно выводам Cato CTRL, если сотрудник подключает Open WebUI к контролируемой злоумышленником конечной точке модели, например, под предлогом “бесплатной альтернативы GPT-4”, интерфейс может быть обманным путем заставлен молча выполнять внедренный JavaScript. Этот код похищает JSON Web Tokens (JWT) из контекста браузера, предоставляя злоумышленникам постоянный доступ к AI-рабочему пространству жертвы, документам, чатам и встроенным ключам API.
Уязвимость затрагивает Open WebUI версий до 0.6.34 и исправлена в версии 0.6.35. Предприятиям настоятельно рекомендуется незамедлительно установить исправление в рабочих средах.
Удобная функция обернулась кризисом
Исследователи Cato сообщили, что проблема заключается в Direct Connections, функции, предназначенной для подключения Open WebUI к внешним серверам моделей, совместимым с OpenAI. Обработчик SSE платформы доверяет входящим событиям с этих серверов, особенно тем, которые помечены как “{type: execute}”, и выполняет их полезную нагрузку через динамический конструктор JavaScript.
Когда пользователь подключается к вредоносному серверу, что легко осуществить с помощью социальной инженерии, этот сервер может передавать SSE с исполняемым JavaScript. Этот скрипт запускается с полным доступом к уровню хранения браузера, включая JWT, используемый для аутентификации.
“Open WebUI хранит токен JWT в localStorage”, – заявили исследователи Cato в своем блоге. “Любой скрипт, работающий на странице, может получить к нему доступ. Срок действия токенов по умолчанию длительный, отсутствует HttpOnly, и они являются кросс-вкладочными. В сочетании с событием execute это создает окно для захвата учетной записи”.
Для атаки требуется, чтобы жертва включила Direct Connections (отключено по умолчанию) и добавила вредоносный URL-адрес модели злоумышленника, согласно описанию NVD.
Эскалация до удаленного выполнения кода
Риск не ограничивается захватом учетной записи. Если у скомпрометированной учетной записи есть разрешения workspace.tools, злоумышленники могут использовать этот токен сеанса для отправки аутентифицированного кода Python через Tools API Open WebUI, который выполняется без песочницы или проверки.
Это превращает компрометацию на уровне браузера в полное удаленное выполнение кода на внутреннем сервере. Как только злоумышленник получает возможность выполнения Python, он может установить механизмы сохранения, проникнуть во внутренние сети, получить доступ к конфиденциальным хранилищам данных или выполнить горизонтальные атаки.
Уязвимость получила высокую оценку серьезности 8/10 по базовой шкале NVD и 7,3/10 по базовой шкале GitHub. Уязвимость была оценена как высокая, а не критическая, что отражает тот факт, что для эксплуатации требуется включить функцию Direct Connections и зависит от того, что пользователя сначала заманят подключиться к вредоносному внешнему серверу моделей. Исправление в Open WebUI v0.6.35 предполагает полную блокировку SSE-событий “execute” из Direct Connections, но любая организация, все еще использующая старые сборки, остается уязвимой. Кроме того, исследователи посоветовали перенести аутентификацию на кратковременные и HttpOnly cookie с ротацией. “В сочетании со строгим CSP и запретом динамической оценки кода”, – добавили они.
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
8/10
Автор – Shweta Sharma
