Open WebUI 任意代码执行漏洞(CVE-2025-64495)安全风险通告
高危漏洞预警:Open WebUI文件上传模块存在远程代码执行风险 近日,开源大模型交互界面Open WebUI曝出高危漏洞(CVE-2025-64495,CVSS 9.8),攻击者可通过构造恶意文件名实现远程代码执行,影响1.9.3以下版本。漏洞核心在于文件上传功能未严格过滤路径穿越字符(如"../")和系统命令,导致攻击者无需复杂技术即可控制服务器,引发数据泄露、挖矿劫持等
·
一、漏洞核心概述
1.1 风险等级
高危(Critical),CVSS v3.1 评分 9.8/10。该漏洞允许攻击者通过构造恶意请求实现远程任意代码执行,无需复杂技术门槛即可获取目标系统控制权,对个人开发者与企业级部署均构成严重威胁。
1.2 漏洞基础信息
| 项目 | 详情 |
|---|---|
| 漏洞编号 | CVE-2025-64495 |
| 影响产品 | Open WebUI(开源大模型Web交互界面) |
| 漏洞类型 | 远程任意代码执行(RCE) |
| 核心成因 | 文件上传模块输入验证缺陷,攻击者可通过伪造文件名构造恶意Payload,绕过路径检测并执行系统命令 |
| 公开状态 | 漏洞细节已披露,暂未发现公开PoC,但技术复现难度低 |
二、漏洞技术细节
2.1 漏洞本质
Open WebUI的文件上传功能未对用户提交的文件名进行严格过滤与规范化处理,存在路径穿越与命令注入风险。攻击者可利用该缺陷,将包含系统命令的恶意字符串嵌入文件名,当服务器对文件进行存储或解析时,恶意命令被触发执行,符合"输入未验证导致代码执行"的典型漏洞特征。
2.2 攻击路径解析
- 资产探测:攻击者通过端口扫描工具(如Nmap)识别开放Open WebUI服务的目标(默认端口或自定义端口),结合AI-Infra-Guard等工具确认服务版本与漏洞存在性。
- Payload构造:生成包含路径穿越字符(如"…/")与系统命令(如反弹Shell、文件读取命令)的恶意文件名,封装为上传请求。
- 漏洞利用:通过Open WebUI的文件上传接口提交恶意请求,绕过服务器路径校验,将恶意指令注入系统执行流程。
- 权限提升与控制:若服务以高权限运行,攻击者可直接获取root/admin权限,执行创建后门、窃取数据、横向渗透等操作;低权限场景下可通过系统漏洞进一步提权。
2.3 典型攻击场景
- 未授权攻击:针对未启用身份认证的Open WebUI实例(如测试环境部署),攻击者直接上传恶意文件触发漏洞。
- 授权攻击:通过社工或弱口令获取低权限账号后,利用上传功能发起攻击,规避外部防护体系。
三、影响范围与风险评估
3.1 受影响版本
根据Open WebUI官方排查,以下版本存在漏洞风险:
- Open WebUI < 1.9.0
- Open WebUI 1.9.x 系列 < 1.9.3
3.2 危害程度评估
| 评估维度 | 风险等级 | 具体描述 |
|---|---|---|
| 攻击门槛 | 低 | 无需复杂技术,利用Python脚本即可构造攻击请求,无特殊环境依赖 |
| 影响范围 | 广 | 覆盖个人开发者本地部署、企业内网AI助手、云原生部署的Open WebUI实例 |
| 危害后果 | 极高 | 1. 服务器完全受控,敏感数据(对话记录、API密钥)泄露; 2. 算力资源被窃取用于挖矿或恶意计算; 3. 沦为跳板机攻击内网其他系统; 4. 恶意模型投毒污染AI交互结果 |
| 扩散风险 | 中 | 目前未发现大规模在野利用,但开源社区关注度持续上升,存在被批量利用风险 |
四、应急响应与修复方案
4.1 紧急修复措施(优先级:最高)
- 版本升级:立即升级至Open WebUI 1.9.3及以上安全版本,官方已修复文件上传验证逻辑。下载地址:Open WebUI GitHub Releases
- 漏洞验证:升级后使用AI-Infra-Guard工具执行本地扫描验证修复效果,命令:
ai-infra-guard -localscan - 配置核查:确认上传目录权限设置为"最小权限原则",禁止服务进程直接访问敏感系统目录。
4.2 临时防护方案(未升级前)
- 访问控制:通过防火墙或反向代理配置ACL,仅允许可信IP访问Open WebUI服务端口,禁止公网直接暴露。
- 功能禁用:临时关闭文件上传功能,编辑配置文件
config.yaml,设置file_upload: false。 - 日志监控:重点监控服务器日志中包含"…/“、”|“,”;“等特殊字符的文件上传请求,检索关键词"unauthorized upload”、“path traversal”。
- 进程隔离:将Open WebUI部署在独立容器中,限制容器与宿主机的交互权限,降低漏洞利用后的影响范围。
4.3 漏洞检测方法
- 自动化扫描:使用更新漏洞库的Nessus或OpenVAS,选择"Open WebUI 文件上传RCE"专项检测模板。
- 人工验证:向上传接口提交测试文件名
../../../../tmp/test;id,若返回命令执行结果则证明漏洞存在。 - 资产盘点:通过网段扫描定位所有Open WebUI实例,命令:
ai-infra-guard -target 192.168.1.0/24
五、长期安全防护建议
5.1 技术防护强化
- 建立自动化检测机制:将AI-Infra-Guard集成至CI/CD流程,确保部署前完成漏洞扫描,避免带漏洞上线。
- 部署应用防火墙(WAF):配置规则拦截包含路径穿越字符、系统命令的恶意请求,重点防护文件上传接口。
- 启用强认证机制:强制开启账号密码+双因素认证(2FA),禁用匿名访问功能,降低未授权攻击风险。
- 定期安全审计:每季度对Open WebUI部署环境进行渗透测试,模拟文件上传、命令注入等攻击场景验证防护有效性。
5.2 运维与合规管理
- 安全公告订阅:关注Open WebUI官方GitHub安全公告与CNVD漏洞库,第一时间获取补丁更新信息。
- 权限治理:严格控制管理员账号数量,定期轮换API密钥与登录凭证,避免弱口令配置。
- 应急演练:每半年开展一次针对RCE漏洞的应急响应演练,明确"检测-阻断-溯源-修复"全流程责任人。
- 合规留存:按照《数据安全法》要求,留存至少6个月的安全日志与漏洞修复记录,确保可追溯。
六、风险提示
Open WebUI作为广泛使用的开源AI交互界面,其安全状态直接影响大模型部署的整体安全。本次漏洞暴露了AI基础设施中"功能优先、安全滞后"的普遍问题,尤其需警惕云原生与容器化部署场景下的漏洞扩散风险。
建议所有用户在48小时内完成资产核查,72小时内完成修复或临时防护部署。若发现疑似攻击行为,应立即隔离受影响服务器,保留日志证据并联系安全厂商进行溯源分析。
如需进一步技术支持,可参考Open WebUI官方安全文档:Open WebUI Security Guide
有“AI”的1024 = 2048,欢迎大家加入2048 AI社区
更多推荐
3
0- 0
已为社区贡献77条内容
所有评论(0)