Les solutions classiques pour les utilisateurs sont des modèles variés, des codes de schéma de serveur de modèles KI manipulés et des charges de travail KI complètes pour les utilisateurs.
Les recherches de sécurité de Cato Networks ont une grande stabilité dans Open WebUI, une interface d’entreprise auto-hébergeuse pour les grands modèles de langage (LLM), ci-dessous. Ce modèle de serveur externe est tout simplement externe, la fonctionnalité « Connexions directes » contient des éléments, des codes de schéma intégrés et des charges de travail KI zu übernehmen.
Ce problème, généré comme CVE-2025-64496, est dû à la gestion peu fiable des événements envoyés par le serveur (SSE). Il est donc possible d’obtenir des points de vente et des erreurs – avec de nombreuses erreurs – ainsi que l’exécution de code à distance (RCE) au niveau du serveur backend.
Les experts peuvent utiliser le Frontend pour utiliser un outil JavaScript gratuit. Il faut maintenant un Mitarbeitender Open WebUI avec un modèle de point de terminaison contrôlé par les Angreifends, comme l’indique le fournisseur « GPT-4-Alternative gratuit ».
Ce code est basé sur les jetons Web JSON (JWT) dans le contexte du navigateur et sur les Kriminelles afin de répondre aux besoins de l’agence de développement KI, des documents, des chats et des options d’API intégrées.
Le Fehler propose la version Open WebUI jusqu’à la version 0.6.34 et la version 0.6.35. Unternehmen sollten daher ihre Produktionsumgebungen umgehend patchen.
Krise statt Confort
Laut den Cato-Forschenden liegt the Problem bei Direct Connections, une fonction, l’utilisateur ermöglicht, Open WebUI avec externe, OpenAI-compatible Modell-Servern zu verbinden. Le gestionnaire SSE de la plate-forme crée des événements sur ce serveur, en les insérant avec la balise « {type : execute} ». Ce Payload peut être utilisé par un constructeur JavaScript dynamique.
Lorsqu’un utilisateur avec un serveur créé est indiqué, c’est grâce à l’ingénierie sociale qu’il est possible de créer ce serveur sur un SSE avec un envoi JavaScript automatique. Ce script contient des informations sur le navigateur des navigateurs, qui sont également des JWT, qui permettent d’utiliser l’authentification.
« Open WebUI propose le jeton JWT dans localStorage », disent les experts de Cato dans un blog. « Jedes sur la page ausgeführte Skript kann darauf zugreifen. Les jetons sont de grande taille standard, ils ont un HttpOnly-Attribut et un Tab-übergreifend. Dans la combinaison avec l’Execute-Event, il y a une seule fenêtre pour le Kontoübernahme. »
La description de la base de données nationale sur les vulnérabilités (NVD) a été fournie par Angriff, car l’option Direct Connections est activée, la norme est désactivée et l’URL du modèle Schädliche des Angreifers est sélectionnée.
Eskalation bis hin zur Remote-Code-Ausführung
Le risque n’est pas lié au contrôleur : le contrat est entièrement compatible avec les outils d’espace de travail utilisés, vous pouvez ainsi utiliser ce jeton de session. Ici, vous pourrez également authentifier le code Python via l’API Outils de l’Open WebUI gratuitement, sans Sandboxing ou sans validation.
Cela permettra à des experts de compléter un navigateur pour une exécution de code à distance complète sur le serveur backend. Sobald Angreifende Zugriff auf die Python-Ausführung erlangt haben, können sie
- Mécanismes de persistance installés,
- dans les réseaux internes eindringen,
- auf sensible Datenspeicher zugreifen, ou
- laterale Attacken durchführen.
La Schwachstelle est disponible pour NVD une haute résolution de 8/10 à 7,3/10 sur GitHub. Il s’avère que la fonction d’exploitation la plus critique a deux couleurs : pour un paramètre d’exploitation, la fonctionnalité de connexions directes est activée. Un autre utilisateur doit s’assurer qu’un serveur de modèles externe manipule un serveur de modèles externe.
Les fonctionnalités d’Open WebUI v0.6.35 peuvent être utilisées pour l’atténuation des correctifs. Il est possible que les événements SSE « exécuter » avec les connexions directes soient complètement bloqués. Organisations, die noch ältere versionsen werwenden, sind jedoch weiterhin gefährdet.
Les recherches effectuées sont possibles, l’authentification est sécurisée et les cookies HttpOnly rotatifs sont inclus : « Combinez-vous avec un CSP renforcé et verbieten sie the dynamische Codeauswertung ». (tf)
