CRITICAL🇬🇧 English

CVE-2024-8017

XSS w Open WebUI — kradzież sesji i eskalacja uprawnień do admina

CVSS 9.0v3.0pub. 2025-03-20upd. 2025-07-21

W Open WebUI w wersjach do 0.3.8 włącznie istnieje podatność XSS w funkcji generującej HTML dla tooltipów. Umożliwia ona atakującemu wykonanie operacji z uprawnieniami ofiary, w tym przejęcie konta administratora.

Pokaż oryginał (EN)

An XSS vulnerability exists in open-webui/open-webui versions <= 0.3.8, specifically in the function that constructs the HTML for tooltips. This vulnerability allows attackers to perform operations with the victim's privileges, such as stealing chat history, deleting chats, and escalating their own account to an admin if the victim is an admin.

🤖 Analiza AI
Jak działa

Podatność typu XSS (Cross-Site Scripting) wynika z nieprawidłowej konstrukcji kodu HTML w funkcji obsługującej tooltips — dane wejściowe nie są odpowiednio sanityzowane przed renderowaniem w przeglądarce. Atakujący może wstrzyknąć złośliwy skrypt, który zostanie wykonany w kontekście przeglądarki ofiary po jej interakcji ze spreparowanym elementem interfejsu. Złośliwy kod działa z pełnymi uprawnieniami zalogowanego użytkownika, a jeśli ofiarą jest administrator, atakujący może eskalować własne konto do poziomu admina.

Skutki

Atakujący może wykraść historię czatów ofiary, usuwać jej czaty oraz — jeśli ofiara posiada uprawnienia administratora — eskalować własne konto do roli administratora, uzyskując pełną kontrolę nad instancją Open WebUI.

Mitygacja

Należy zaktualizować Open WebUI do wersji wyższej niż 0.3.8. Szczegóły dotyczące dostępnych poprawek znajdują się w referencjach producenta: https://huntr.com/bounties/ef06c7c8-1cb2-42a7-a6e6-17b2e1c744f7

Kogo dotyczy

Open WebUI (open-webui/open-webui) w wersjach <= 0.3.8

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
  • Openwebui Open Webui

    APP
    Openwebui
    ≤ 0.3.8
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2026-44551CRITICAL9.1PL ✓ten sam produkt

Open WebUI: pominięcie uwierzytelnienia LDAP przez puste hasło (Auth Bypass)

CVE-2024-7053CRITICAL9.0PL ✓ten sam produkt

Session fixation i kradzież sesji administratora w Open WebUI

CVE-2026-54008HIGH8.5ten sam produkt

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0....

CVE-2026-54007HIGH7.1ten sam produkt

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0....

CVE-2026-54010HIGH8.3ten sam produkt

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0....