CRITICAL🇬🇧 English

CVE-2024-7053

Session fixation i kradzież sesji administratora w Open WebUI

CVSS 9.0v3.1pub. 2025-03-20upd. 2025-04-01

Podatność w Open WebUI 0.3.8 umożliwia atakującemu z kontem użytkownika przejęcie sesji administratora poprzez atak session fixation z wykorzystaniem złośliwego obrazu w formacie Markdown osadzonego w czacie. W konsekwencji atakujący może uzyskać pełną kontrolę nad kontem administratora, co może prowadzić do remote code execution (RCE).

Pokaż oryginał (EN)

A vulnerability in open-webui/open-webui version 0.3.8 allows an attacker with a user-level account to perform a session fixation attack. The session cookie for all users is set with the default `SameSite=Lax` and does not have the `Secure` flag enabled, allowing the session cookie to be sent over HTTP to a cross-origin domain. An attacker can exploit this by embedding a malicious markdown image in a chat, which, when viewed by an administrator, sends the admin's session cookie to the attacker's server. This can lead to a stealthy administrator account takeover, potentially resulting in remote code execution (RCE) due to the elevated privileges of administrator accounts.

🤖 Analiza AI
Jak działa

Cookie sesji dla wszystkich użytkowników jest ustawiane z domyślną flagą `SameSite=Lax` bez flagi `Secure`, co pozwala na przesyłanie cookie sesji niezaszyfrowanym kanałem HTTP do cross-origin domen. Atakujący osadza w czacie złośliwy obraz Markdown ze zdalnym adresem URL wskazującym na kontrolowany przez siebie serwer. Gdy administrator przegląda czat, przeglądarka automatycznie wysyła żądanie HTTP do serwera atakującego, dołączając cookie sesji administratora. Atakujący przechwytuje ten token i przejmuje aktywną sesję administratora w sposób całkowicie niewidoczny dla ofiary.

Skutki

Atakujący uzyskuje pełny dostęp do konta administratora aplikacji Open WebUI, co — ze względu na podwyższone uprawnienia administratora — może prowadzić do remote code execution (RCE) na serwerze. Przejęcie konta następuje w sposób niejawny, bez konieczności znajomości hasła ofiary.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo rekomenduje się wymuszenie flagi `Secure` na cookie sesji, rozważenie ustawienia `SameSite=Strict` oraz zapewnienie, że aplikacja jest dostępna wyłącznie przez HTTPS, co uniemożliwi przesyłanie cookie sesji niezaszyfrowanym kanałem.

Kogo dotyczy

Open WebUI (open-webui/open-webui) w wersji 0.3.8. Do wykonania ataku wystarczy posiadanie konta użytkownika o niskich uprawnieniach.

Uwagi

Podatność wymaga interakcji użytkownika (administrator musi wyświetlić czat ze złośliwym obrazem — UI:R w wektorze CVSS). Szczegóły techniczne zostały opublikowane na platformie huntr.com.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
  • Openwebui Open Webui

    APP
    Openwebui
    0.3.8
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEXSS
CWE
Referencje

Powiązane podatności

CVE-2026-44551CRITICAL9.1PL ✓ten sam produkt

Open WebUI: pominięcie uwierzytelnienia LDAP przez puste hasło (Auth Bypass)

CVE-2024-8017CRITICAL9.0PL ✓ten sam produkt

XSS w Open WebUI — kradzież sesji i eskalacja uprawnień do admina

CVE-2026-54008HIGH8.5ten sam produkt

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0....

CVE-2026-54007HIGH7.1ten sam produkt

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0....

CVE-2026-54010HIGH8.3ten sam produkt

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0....