漏洞描述:

Oреn WеbUI是一个自托管的人工智能平台,设计为完全离线运行该平台允许用户通过自定义提示与AI进行交互,在0.6.34及以下版本中,当启用“以富文本形式插入提示”功能时,由于未对提示内容进行清理即直接赋值给DOM的.innеrHtml,导致存在DOM XSS漏洞 

攻击场景:

攻击者通过诱导用户在“以富文本形式插入提示”功能中输入恶意HTML/JavaScript代码,利用未对用户输入进行清理即直接赋值给DOM的innerHTML属性的缺陷实现恶意脚本在用户浏览器端的执行,进而可能实现会话劫持、权限提升或横向移动等攻击行为

影响产品:

0.6.34及以下版本 

检测方法:

检查Open WebUI版本是否为0.6.34及以下,如果是则需要检查是否启用了'以富文本形式插入提示'功能

修复建议:

补丁名称:

Oреn WеbUI任意代码执行漏洞的补丁-更新至最新版本v0.6.36

文件链接:

https://github.com/open-webui/open-webui/releases/tag/v0.6.36 

升级到0.635或更高版本以修复此漏洞