Plateforme
other
Composant
open-webui
Corrigé dans
0.6.38
La vulnérabilité CVE-2025-65958 est une faille de type Server-Side Request Forgery (SSRF) découverte dans Open WebUI, une plateforme d'intelligence artificielle auto-hébergée. Cette faille permet à un utilisateur authentifié de manipuler le serveur pour qu'il effectue des requêtes HTTP vers des URL arbitraires, compromettant potentiellement la sécurité et la confidentialité des données. Elle affecte les versions d'Open WebUI antérieures à 0.6.37 et a été corrigée dans cette dernière version.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant d'accéder à des informations sensibles et de compromettre la sécurité du système Open WebUI. L'attaquant peut forcer le serveur à effectuer des requêtes vers des métadonnées de fournisseurs de cloud tels qu'AWS, GCP ou Azure, révélant des informations d'identification et des clés d'accès. De plus, il est possible de scanner le réseau interne, d'accéder à des services internes protégés par des pare-feu et d'exfiltrer des données sensibles. Le rayon d'impact est donc potentiellement large, touchant à la fois la confidentialité des données et l'intégrité du système.
La vulnérabilité CVE-2025-65958 a été rendue publique le 4 décembre 2025. Il n'y a pas d'indication actuelle qu'elle soit activement exploitée, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable par des acteurs malveillants. L'absence de PoC publics ne garantit pas qu'elle ne sera pas exploitée à l'avenir. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une authentification préalable.
Organizations deploying Open WebUI in environments with sensitive data or cloud integrations are particularly at risk. Shared hosting environments where multiple users share the same Open WebUI instance are also vulnerable, as a compromised user account could be used to exploit the SSRF vulnerability and impact other users. Any deployment using legacy configurations or outdated network security policies is also at increased risk.
• linux / server: Monitor Open WebUI logs for unusual outbound HTTP requests. Use journalctl -u open-webui to filter for requests to unexpected domains or IP addresses.
journalctl -u open-webui | grep -i "http:" | grep -v "localhost"• generic web: Use curl or wget to test outbound connectivity from the Open WebUI server. Attempt to connect to a known safe external URL and verify that the connection is successful. Examine access and error logs for suspicious patterns.
curl -v https://example.com 2>&1 | grep -i "connection:" disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mitigation principale contre la vulnérabilité CVE-2025-65958 consiste à mettre à jour Open WebUI vers la version 0.6.37 ou supérieure, qui corrige cette faille. En attendant la mise à jour, il est possible de mettre en place des mesures de sécurité temporaires, telles que la configuration d'un pare-feu pour restreindre les requêtes sortantes du serveur Open WebUI à des domaines spécifiques et de confiance. L'utilisation d'un proxy inverse peut également aider à filtrer les requêtes malveillantes. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en effectuant des tests de pénétration ciblés.
Mettez à jour Open WebUI à la version 0.6.37 ou supérieure. Cette version corrige la vulnérabilité SSRF qui permet aux utilisateurs authentifiés d'effectuer des requêtes HTTP vers des URL arbitraires, atténuant ainsi le risque d'accès aux métadonnées cloud, de scan des réseaux internes et d'exfiltration d'informations sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-65958 est une vulnérabilité SSRF dans Open WebUI, permettant à un utilisateur authentifié de forcer le serveur à faire des requêtes HTTP arbitraires, compromettant potentiellement la sécurité des données.
Vous êtes affecté si vous utilisez Open WebUI dans une version antérieure à 0.6.37. Vérifiez votre version actuelle et mettez à jour si nécessaire.
Mettez à jour Open WebUI vers la version 0.6.37 ou supérieure. En attendant, configurez un pare-feu pour restreindre les requêtes sortantes.
Il n'y a pas d'indication actuelle d'exploitation active, mais la vulnérabilité est potentiellement exploitable.
Consultez le site web officiel d'Open WebUI ou leurs canaux de communication pour obtenir les informations les plus récentes sur cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.