CVE-2026-54007
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Open WebUI przed wersją 0.9.6 zawiera podatność polegającą na tym, że odbiorca wiadomości czatu akceptuje komunikaty `input:prompt` i `action:submit` pochodzące z innych domen. Zewnętrzna strona może ustawić tekst promptu i wywołać funkcję `submitPrompt()` w sesji uwierzytelnionego użytkownika, co prowadzi do nieautoryzowanych żądań POST do endpointów API.
Ocena ryzyka
Atakujący może wymusić na ofierze wykonanie niechcianych akcji, takich jak tworzenie nowych czatów i wysyłanie zapytań do modeli AI, wykorzystując jej uprawnienia bez jej zgody. Może to prowadzić do naruszenia poufności danych lub niekontrolowanego użycia zasobów.
Rekomendacja
Niezwłocznie zaktualizuj Open WebUI do wersji 0.9.6 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.9.6, the chat message listener allows non-same-origin input:prompt and action:submit messages, so an external site can set prompt text and trigger submitPrompt() in an authenticated victim session. I validated this with a cross-origin attacker page that auto-posted messages and caused unauthorized POST /api/v1/chats/new and POST /api/chat/completions requests containing attacker-controlled prompts. This enables cross-site forced actions and model/tool execution under victim privileges without consent. This vulnerability is fixed in 0.9.6.

