Plataforma
nodejs
Componente
open-webui/open-webui
Corregido en
0.3.9
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en open-webui, versiones hasta la 0.3.8. Esta falla reside en la función que genera el código HTML para las sugerencias (tooltips) y permite a un atacante inyectar código malicioso en el navegador de un usuario. La explotación exitosa de esta vulnerabilidad podría resultar en el robo de información sensible, la manipulación de la interfaz de usuario y, en el peor de los casos, la escalada de privilegios a administrador si la víctima posee dichos permisos.
La vulnerabilidad XSS en open-webui presenta un riesgo significativo para la seguridad de los usuarios. Un atacante podría aprovechar esta falla para ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto podría permitirles robar el historial de chat, eliminar conversaciones, modificar la configuración de la aplicación e incluso tomar el control total de la cuenta del usuario, especialmente si este tiene privilegios de administrador. La capacidad de escalar privilegios representa un riesgo crítico, ya que un atacante podría comprometer la integridad de toda la instancia de open-webui. La naturaleza de XSS hace que la explotación sea relativamente sencilla, requiriendo solo la inyección de código malicioso a través de una entrada vulnerable.
La vulnerabilidad CVE-2024-8017 se ha hecho pública el 20 de marzo de 2025. No se ha añadido a la lista KEV de CISA al momento de esta redacción, pero la severidad crítica sugiere que podría serlo en el futuro. No se han reportado públicamente exploits activos, pero la facilidad de explotación de las vulnerabilidades XSS hace que sea probable que se desarrollen y se utilicen en campañas de ataque. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada.
Organizations and individuals using open-webui for chat applications, particularly those with administrator accounts, are at significant risk. Shared hosting environments where multiple users share the same open-webui instance are especially vulnerable, as an attacker could potentially compromise all users on the server. Users relying on legacy configurations or outdated security practices are also at increased risk.
• nodejs: Monitor application logs for unusual JavaScript execution patterns or errors related to HTML rendering. Use Node.js security linters to identify potential XSS vulnerabilities in the codebase.
npm audit open-webui• generic web: Inspect HTTP response headers for Content-Security-Policy (CSP) directives. A missing or weak CSP can increase the risk of XSS attacks.
curl -I https://your-open-webui-instance.com |
grep -i content-security-policydisclosure
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-8017 es actualizar open-webui a una versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de mitigación temporales. Implementar una política de seguridad de contenido (CSP) estricta puede ayudar a prevenir la ejecución de scripts no autorizados. Además, se recomienda revisar y validar cuidadosamente todas las entradas de usuario para evitar la inyección de código malicioso. Si la actualización inmediata no es posible, considere implementar un Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de XSS. Monitorear los registros de la aplicación en busca de patrones sospechosos de actividad de XSS también es crucial.
Actualice open-webui a una versión posterior a 0.3.8 que contenga la corrección para la vulnerabilidad XSS. Consulte el registro de cambios del proyecto o las notas de la versión para obtener más detalles sobre la actualización y las medidas de seguridad implementadas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-8017 is a critical Cross-Site Scripting (XSS) vulnerability in open-webui versions up to 0.3.8, allowing attackers to execute malicious scripts and potentially gain admin privileges.
If you are using open-webui version 0.3.8 or earlier, you are potentially affected by this vulnerability. Check your version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of open-webui. Monitor the project's official channels for updates and apply the patch as soon as it is released. Implement CSP as a temporary mitigation.
Active exploitation is not yet confirmed, but the vulnerability's severity and potential impact suggest it could become a target. Monitor security advisories and implement mitigations proactively.
Check the official open-webui project's website and GitHub repository for security advisories and updates related to CVE-2024-8017.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.