Plataforma
python
Componente
open-webui
Corregido en
0.5.17
La vulnerabilidad CVE-2024-8060 es una ejecución remota de código (RCE) presente en open-webui versiones 0.3.0 y anteriores a 0.5.9. Esta falla permite a un usuario autenticado subir archivos arbitrarios, lo que puede resultar en la sobreescritura de archivos críticos dentro del contenedor Docker y, en última instancia, en la ejecución de código malicioso con privilegios de root. La vulnerabilidad reside en la API de transcripción de audio /audio/api/v1/transcriptions debido a una validación insuficiente del tipo de archivo y la manipulación de nombres de archivo.
Un atacante puede explotar esta vulnerabilidad para obtener acceso no autorizado al sistema subiendo un archivo malicioso que sobrescriba archivos de configuración o ejecutables críticos dentro del contenedor Docker. Esto podría permitir la ejecución de comandos arbitrarios con privilegios de root, comprometiendo la confidencialidad, integridad y disponibilidad del sistema. La capacidad de sobrescribir archivos críticos dentro del contenedor amplía significativamente el alcance del impacto, permitiendo potencialmente la instalación de puertas traseras o la exfiltración de datos sensibles. La falta de validación adecuada del tipo de archivo y la posibilidad de manipulación del nombre de archivo son factores clave que facilitan la explotación de esta vulnerabilidad, similar a otras vulnerabilidades de subida de archivos que han llevado a compromisos de sistemas en el pasado.
La vulnerabilidad CVE-2024-8060 fue publicada el 20 de marzo de 2025. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (RCE a través de subida de archivos) la convierte en un objetivo atractivo para los atacantes. La necesidad de autenticación para explotar la vulnerabilidad podría limitar su explotación a gran escala, pero aún representa un riesgo significativo para los sistemas expuestos.
Organizations deploying OpenWebUI within Docker containers, particularly those using it for sensitive audio processing tasks, are at significant risk. Shared hosting environments where OpenWebUI is installed could also be vulnerable if multiple users share the same container.
• linux / server: Monitor Docker container logs for unusual file creation or modification activity, particularly within the OpenWebUI application directory. Use journalctl -u openwebui to check for suspicious API calls.
journalctl -u openwebui | grep '/audio/api/v1/transcriptions'• generic web: Monitor web server access logs for requests to /audio/api/v1/transcriptions with unusual or unexpected Content-Type headers.
grep '/audio/api/v1/transcriptions' /var/log/apache2/access.log• python: If you have access to the OpenWebUI source code, review the /audio/api/v1/transcriptions endpoint for inadequate file validation logic.
disclosure
Estado del Exploit
EPSS
0.92% (76% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-8060 es actualizar open-webui a la versión 0.5.17 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la API de transcripción de audio solo a usuarios autorizados y configurar un firewall para bloquear el tráfico no autorizado. Además, se puede considerar la implementación de un sistema de detección de intrusiones (IDS) para monitorear la actividad sospechosa relacionada con la subida de archivos. Después de la actualización, confirme la mitigación verificando que la API de transcripción de audio /audio/api/v1/transcriptions ahora valide correctamente el tipo de archivo y el nombre de archivo antes de permitir la subida.
Actualice OpenWebUI a una versión posterior a la 0.3.0 que corrija la vulnerabilidad de carga de archivos arbitrarios. Consulte las notas de la versión para obtener más detalles sobre la actualización. Como medida temporal, restrinja el acceso al endpoint `/audio/api/v1/transcriptions` hasta que se pueda realizar la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-8060 is a Remote Code Execution vulnerability in OpenWebUI versions up to 0.5.9, allowing authenticated users to upload arbitrary files and potentially gain root access.
You are affected if you are running OpenWebUI version 0.5.9 or earlier. Upgrade to 0.5.17 or later to resolve the vulnerability.
Upgrade OpenWebUI to version 0.5.17 or later. As a temporary workaround, implement a WAF rule to block requests to the vulnerable endpoint.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a potential for rapid exploitation.
Refer to the OpenWebUI GitHub repository for updates and advisories regarding CVE-2024-8060: [https://github.com/open-webui/open-webui](https://github.com/open-webui/open-webui)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.