DIGINEWS

Предупреждение о сборе статистики

DigiNews целенаправленно не собирает и не хранит историю визитов, но в работе использует счётчики, который могут собирать статистику посещений.

Измение этой статистики, её динамика помогает нам понимать предпочтения читателей и в какую сторону нам двигаться для улучшения. Ваше согласие нам поможет в этом.

Ссылка: [Политика безопасности dgnews.ru]

Уязвимость в Open WebUI превращает бесплатный инструмент в лазейку для злоумышленников.

Shweta Sharma
07.01.2026
Безопасность
open webui,cve-2025-64496,уязвимость llm,безопасность ии,rce,cato networks

Исследователи Cato Networks выявили критическую уязвимость CVE-2025-64496 в Open WebUI, самостоятельном интерфейсе для LLM. Небезопасная обработка Server-Sent Events (SSE) через функцию «Прямые соединения» позволяет злоумышленникам внедрять JavaScript, красть JWT-токены и захватывать сессии. При наличии прав возможна эскалация до RCE.

Исследователи безопасности из Cato Networks обнаружили уязвимость в Open WebUI — самостоятельно размещаемом корпоративном интерфейсе для больших языковых моделей (LLM). Уязвимость позволяет внешним серверным моделям, подключенным через функцию «Прямые соединения» (Direct Connections), внедрять вредоносный код и захватывать рабочие нагрузки ИИ.

Проблема, обозначенная как CVE-2025-64496, кроется в небезопасной обработке событий, отправляемых сервером (Server-Sent Events, SSE). Это может привести к захвату учетных записей пользователей и, в некоторых случаях — при наличии расширенных прав — к выполнению произвольного кода на серверной стороне (Remote Code Execution, RCE).

По словам экспертов, злоумышленники могут заставить фронтенд незаметно выполнять внедренный JavaScript. Для этого сотрудник должен подключить Open WebUI к конечному узлу модели, контролируемому атакующими, например, под предлогом «бесплатной альтернативы GPT-4».

Этот код затем похищает JSON Web Tokens (JWT) из контекста браузера, предоставляя преступникам постоянный доступ к рабочей области ИИ жертвы, документам, чатам и встроенным ключам API.

Ошибка затрагивает версии Open WebUI до 0.6.34 включительно и устранена в версии 0.6.35. Компаниям следует незамедлительно установить исправления в своих производственных средах.

Кризис вместо комфорта

По данным исследователей Cato, проблема заключается в «Прямых соединениях» — функции, позволяющей пользователям подключать Open WebUI к внешним, совместимым с OpenAI, серверным моделям. Обработчик SSE платформы доверяет входящим событиям от этих серверов, в частности тем, что содержат тег «{type: execute}». Затем он выполняет их полезную нагрузку через динамический конструктор JavaScript.

Если пользователь подключается к вредоносному серверу (что легко осуществимо с помощью социальной инженерии), этот сервер может отправить SSE с исполняемым JavaScript. Этот скрипт получает полный доступ к памяти браузера, включая JWT, используемый для аутентификации.

«Open WebUI сохраняет JWT-токен в localStorage», — отмечают эксперты Cato в своем блоге. «Любой скрипт, выполняемый на странице, может получить к нему доступ. Токены по умолчанию долгоживущие, не имеют атрибута HttpOnly и действуют между вкладками. В сочетании с событием Execute это создает окно возможностей для захвата учетной записи».

Однако, согласно описанию Национальной базы данных уязвимостей (NVD), для атаки требуется, чтобы жертва активировала функцию «Прямые соединения» (которая по умолчанию отключена) и добавила вредоносный URL-адрес модели злоумышленника.

Эскалация вплоть до удаленного выполнения кода

Риск не ограничивается захватом учетной записи: если скомпрометированная учетная запись имеет права доступа к инструментам Workspace, злоумышленники могут использовать этот токен сессии. Это позволяет им внедрять аутентифицированный код Python через API инструментов Open WebUI, который выполняется без песочницы или валидации.

Таким образом, по мнению экспертов, скомпрометированный браузер превращается в полноценную точку удаленного выполнения кода на серверной машине. Получив доступ к выполнению Python, атакующие могут:

  • устанавливать механизмы постоянного доступа,
  • проникать во внутренние сети,
  • получать доступ к конфиденциальным хранилищам данных, или
  • осуществлять боковые атаки.

Уязвимости присвоен высокий уровень серьезности 8/10 от NVD и 7,3/10 от GitHub. То, что она классифицирована как высокая, а не критическая, объясняется двумя причинами: во-первых, эксплойт требует активации функции «Прямые соединения»; во-вторых, пользователь должен быть обманом вынужден подключиться к манипулируемому внешнему серверу моделей.

Ошибка в Open WebUI v0.6.35 может быть устранена с помощью исправления, которое полностью блокирует события SSE с тегом «execute» из «Прямых соединений». Однако организации, использующие более старые версии, по-прежнему подвержены риску.

Исследователи дополнительно рекомендуют перейти на краткосрочные и ротируемые HttpOnly-куки для аутентификации: «Сочетайте это со строгой политикой безопасности контента (CSP) и запретите динамическую оценку кода» (tf).

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 8/9
Bayan-score: 0.889644325

Автор – Shweta Sharma

Оригинал статьи