北京
一张看似无害的头像图片,点下去就能让攻击者完全控制你的AI工作空间。这不是科幻片情节,而是Open WebUI用户正在面对的真实威胁。安全研究员Metin Yunus Kandemir发现的这个漏洞,把"社交工程攻击"的门槛降到了历史新低——只需要受害者点一下链接。
问题的根源藏在最不起眼的地方:用户上传头像的功能。Open WebUI在处理图片上传时,后端代码位于/backend/open_webui/routers/users.py,但这里完全没有对文件类型做限制。攻击者不需要什么高深技术,上传一个伪装成图片的SVG文件,里面塞一段Base64编码的JavaScript代码,系统照单全收。更麻烦的是,平台使用了"inline"内容处理方式,浏览器不会提示下载,而是直接执行里面的脚本。
漏洞的杀伤力取决于受害者的身份权限,分成两个层级:
管理员账号:一键RCE
如果点击链接的是管理员或拥有工作空间权限的用户,攻击者直接获得远程代码执行能力。JavaScript会在后台静默调用平台API,创建一个恶意工具,相当于给攻击者开了一扇永久后门。整个过程不需要二次认证,受害者甚至不会察觉到任何异常。
普通用户:账号接管+数据泄露
普通用户点击后的后果同样严重。脚本会自动抓取浏览器存储的认证令牌,完成账号接管。与此同时,用户的全部聊天记录会被完整复制,发送到攻击者控制的外部服务器。只要用户处于登录状态,攻击瞬间完成,没有任何交互提示。
这个零日漏洞在Open WebUI 0.7.2版本中仍未修复。Kandemir最初在2026年3月10日向开发团队报告了问题。但事情的发展出人意料——5月6日,Open WebUI团队以"重复报告"为由关闭了漏洞工单,引用了一份未公开的安全公告,并明确告知研究员不会给予官方认可。Kandemir认为这违反了负责任披露原则,于5月8日公开了完整的概念验证代码。现在漏洞细节和利用工具都在网上,用户只能自求多福。
在官方补丁发布之前,组织只能采取临时防护措施。管理员需要手动修改后端代码,对media_type变量实施严格的白名单限制,只允许image/png、image/jpeg、image/gif、image/webp四种格式,彻底阻断image/svg+xml。普通用户则要提高警惕,不要点击任何来源不明的Open WebUI相关链接——你不知道那张"头像"里藏着什么。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
