Plateforme
nodejs
Composant
open-webui/open-webui
Corrigé dans
0.3.9
Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans open-webui, affectant les versions jusqu'à 0.3.8. Cette faille exploite une vulnérabilité dans la construction du code HTML pour les infobulles. L'exploitation réussie permet à un attaquant d'injecter du code JavaScript malveillant, potentiellement compromettant la sécurité des utilisateurs et de l'application.
L'impact de cette vulnérabilité XSS est significatif. Un attaquant peut exploiter cette faille pour exécuter du code JavaScript dans le contexte du navigateur de la victime. Cela permet de voler des informations sensibles, telles que l'historique des conversations, de supprimer des chats, et, dans le cas où la victime est un administrateur, d'élever le compte de l'attaquant au niveau d'administrateur. Cette élévation de privilèges pourrait permettre un contrôle total sur l'application open-webui et les données qu'elle contient. L'attaquant pourrait également utiliser cette vulnérabilité pour lancer d'autres attaques, telles que le phishing ou le détournement de session.
La vulnérabilité CVE-2024-8017 a été publiée le 20 mars 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au KEV. Des preuves de concept (PoC) publiques pourraient émerger, augmentant le risque d'exploitation. Il est crucial de mettre en œuvre les mesures de mitigation dès que possible pour réduire la surface d'attaque.
Organizations and individuals using open-webui for chat applications, particularly those with administrator accounts, are at significant risk. Shared hosting environments where multiple users share the same open-webui instance are especially vulnerable, as an attacker could potentially compromise all users on the server. Users relying on legacy configurations or outdated security practices are also at increased risk.
• nodejs: Monitor application logs for unusual JavaScript execution patterns or errors related to HTML rendering. Use Node.js security linters to identify potential XSS vulnerabilities in the codebase.
npm audit open-webui• generic web: Inspect HTTP response headers for Content-Security-Policy (CSP) directives. A missing or weak CSP can increase the risk of XSS attacks.
curl -I https://your-open-webui-instance.com |
grep -i content-security-policydisclosure
Statut de l'Exploit
EPSS
0.10% (percentile 28%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour open-webui vers une version corrigée dès que possible. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. Il est recommandé de désactiver temporairement la fonctionnalité d'infobulle si possible. L'utilisation d'un Web Application Firewall (WAF) peut aider à bloquer les requêtes malveillantes contenant du code JavaScript suspect. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité de l'installation et effectuez des tests de pénétration pour confirmer l'absence de la vulnérabilité.
Mettez à jour open-webui vers une version postérieure à 0.3.8 qui contient la correction pour la vulnérabilité XSS. Consultez le journal des modifications du projet ou les notes de version pour plus de détails sur la mise à jour et les mesures de sécurité mises en œuvre.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-8017 is a critical Cross-Site Scripting (XSS) vulnerability in open-webui versions up to 0.3.8, allowing attackers to execute malicious scripts and potentially gain admin privileges.
If you are using open-webui version 0.3.8 or earlier, you are potentially affected by this vulnerability. Check your version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of open-webui. Monitor the project's official channels for updates and apply the patch as soon as it is released. Implement CSP as a temporary mitigation.
Active exploitation is not yet confirmed, but the vulnerability's severity and potential impact suggest it could become a target. Monitor security advisories and implement mitigations proactively.
Check the official open-webui project's website and GitHub repository for security advisories and updates related to CVE-2024-8017.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.