प्लेटफ़ॉर्म
nodejs
घटक
open-webui/open-webui
में ठीक किया गया
0.3.9
CVE-2024-8017 open-webui में एक गंभीर क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को पीड़ित के विशेषाधिकारों के साथ कार्य करने की अनुमति देती है, जिससे संवेदनशील जानकारी चोरी हो सकती है या सिस्टम पर अनधिकृत नियंत्रण प्राप्त किया जा सकता है। यह भेद्यता open-webui के संस्करणों <= 0.3.8 को प्रभावित करती है। इस समस्या को हल करने के लिए नवीनतम संस्करण में अपग्रेड करने की सिफारिश की जाती है।
यह XSS भेद्यता open-webui उपयोगकर्ताओं के लिए महत्वपूर्ण जोखिम पैदा करती है। हमलावर इस भेद्यता का उपयोग दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने के लिए कर सकते हैं जो पीड़ित के ब्राउज़र में निष्पादित होती हैं। इससे हमलावर चैट इतिहास चुरा सकते हैं, चैट हटा सकते हैं, और यदि पीड़ित एक व्यवस्थापक है तो अपना खाता व्यवस्थापक तक बढ़ा सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावरों को पीड़ित के विशेषाधिकारों के साथ कार्य करने की अनुमति देती है, जिससे वे सिस्टम पर व्यापक नियंत्रण प्राप्त कर सकते हैं। इस भेद्यता का शोषण करने से डेटा उल्लंघन, वित्तीय नुकसान और प्रतिष्ठा को नुकसान हो सकता है।
CVE-2024-8017 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और XSS भेद्यताओं की व्यापकता को देखते हुए, इसका शोषण होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभव है कि जल्द ही PoC जारी किए जाएंगे। CISA ने इस CVE को अपनी KEV सूची में शामिल नहीं किया है। यह भेद्यता 2025-03-20 को प्रकाशित हुई थी।
Organizations and individuals using open-webui for chat applications, particularly those with administrator accounts, are at significant risk. Shared hosting environments where multiple users share the same open-webui instance are especially vulnerable, as an attacker could potentially compromise all users on the server. Users relying on legacy configurations or outdated security practices are also at increased risk.
• nodejs: Monitor application logs for unusual JavaScript execution patterns or errors related to HTML rendering. Use Node.js security linters to identify potential XSS vulnerabilities in the codebase.
npm audit open-webui• generic web: Inspect HTTP response headers for Content-Security-Policy (CSP) directives. A missing or weak CSP can increase the risk of XSS attacks.
curl -I https://your-open-webui-instance.com |
grep -i content-security-policydisclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (28% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-8017 के प्रभाव को कम करने के लिए, open-webui के नवीनतम संस्करण में अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग दुर्भावनापूर्ण स्क्रिप्ट को ब्लॉक करने के लिए किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करने से XSS हमलों के जोखिम को कम करने में मदद मिल सकती है। सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से मान्य किया गया है और आउटपुट को प्रदर्शित करने से पहले एन्कोड किया गया है। अपग्रेड करने के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, यह सुनिश्चित करने के लिए कि कोई दुर्भावनापूर्ण स्क्रिप्ट निष्पादित नहीं की जा सकती है।
open-webui को 0.3.8 से बाद के संस्करण में अपडेट करें जिसमें XSS भेद्यता के लिए सुधार शामिल है। अपडेट और लागू किए गए सुरक्षा उपायों के बारे में अधिक जानकारी के लिए परियोजना के परिवर्तन लॉग या संस्करण नोट्स देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-8017 open-webui के संस्करणों <= 0.3.8 में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को पीड़ित के विशेषाधिकारों के साथ कार्य करने की अनुमति देती है।
यदि आप open-webui के संस्करण 0.3.8 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-8017 को ठीक करने के लिए, open-webui के नवीनतम संस्करण में अपग्रेड करें।
CVE-2024-8017 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने की संभावना है।
आधिकारिक open-webui एडवाइजरी के लिए, कृपया open-webui प्रोजेक्ट के GitHub रिपॉजिटरी पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।