CRITICALCVE-2024-8017CVSS 9

Cross-site Scripting (XSS) in open-webui/open-webui

プラットフォーム

nodejs

コンポーネント

open-webui/open-webui

修正版

0.3.9

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-8017は、open-webuiのバージョン0.3.8以前に存在するクロスサイトスクリプティング（XSS）脆弱性です。この脆弱性は、ツールチップのHTML構築機能に起因し、攻撃者が悪意のあるスクリプトを挿入することで、被害者の権限で任意の操作を実行することを可能にします。open-webuiのバージョン0.3.8以前を使用している環境は、最新バージョンへのアップデートが必要です。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者は被害者のブラウザ上で任意のJavaScriptコードを実行できます。これにより、攻撃者は被害者のチャット履歴を窃取したり、チャットを削除したり、被害者が管理者アカウントを持っている場合、自身の権限を管理者アカウントに昇格させることが可能になります。特に、管理者アカウントが侵害されると、システム全体への影響が及ぶ可能性があり、機密情報の漏洩やシステムの改ざんなどの深刻な被害につながる可能性があります。この脆弱性は、open-webuiのセキュリティを著しく低下させ、攻撃者による不正アクセスやデータ侵害のリスクを高めます。

悪用の状況

CVE-2024-8017は、2025年3月20日に公開されました。現時点では、公開されているPoC（Proof of Concept）は確認されていませんが、XSS脆弱性は一般的に悪用されやすく、今後、攻撃キャンペーンが展開される可能性も考慮する必要があります。CISA KEVカタログへの登録状況は確認されていません。NVD（National Vulnerability Database）の情報も参照し、最新の情報を収集してください。

リスク対象者翻訳中…

Organizations and individuals using open-webui for chat applications, particularly those with administrator accounts, are at significant risk. Shared hosting environments where multiple users share the same open-webui instance are especially vulnerable, as an attacker could potentially compromise all users on the server. Users relying on legacy configurations or outdated security practices are also at increased risk.

検出手順翻訳中…

• nodejs: Monitor application logs for unusual JavaScript execution patterns or errors related to HTML rendering. Use Node.js security linters to identify potential XSS vulnerabilities in the codebase.

npm audit open-webui

• generic web: Inspect HTTP response headers for Content-Security-Policy (CSP) directives. A missing or weak CSP can increase the risk of XSS attacks.

curl -I https://your-open-webui-instance.com |
 grep -i content-security-policy

攻撃タイムライン

2025-03-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.10% (28% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントopen-webui/open-webui

ベンダーopen-webui

影響範囲修正版

0.1.0 – 0.3.80.3.9

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2024-08-20
公開日2025-03-20
EPSS 更新日2026-04-02

未パッチ — 公開から430日経過

緩和策と回避策

この脆弱性への対応として、open-webuiを最新バージョンにアップデートすることを強く推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、XSS攻撃を検知・防御するルールを設定することを検討してください。また、入力値の検証を強化し、HTMLエンコードを適切に行うことで、XSS攻撃のリスクを軽減できます。open-webuiのセキュリティ設定を見直し、不要な機能やアクセス権限を制限することも有効です。アップデート後、open-webuiのログを確認し、不審なアクセスがないか監視してください。

修正方法

open-webui を XSS 脆弱性の修正を含む 0.3.8 より後のバージョンにアップデートしてください。詳細については、プロジェクトの変更履歴またはリリースノートを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-8017 — XSS in open-webuiとは何ですか？

CVE-2024-8017は、open-webuiのバージョン0.3.8以前に存在するクロスサイトスクリプティング（XSS）脆弱性です。ツールチップのHTML構築機能に問題があり、攻撃者が悪意のあるスクリプトを挿入できる可能性があります。

CVE-2024-8017 in open-webuiの影響はありますか？

はい、影響があります。攻撃者はチャット履歴の窃取、チャットの削除、管理者アカウントへの昇格などの操作を実行できる可能性があります。

CVE-2024-8017 in open-webuiを修正するにはどうすればよいですか？

open-webuiを最新バージョンにアップデートすることを強く推奨します。アップデートが困難な場合は、WAFの導入や入力値の検証強化などの対策を検討してください。

CVE-2024-8017は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用されやすいため、今後、攻撃キャンペーンが展開される可能性も考慮する必要があります。

CVE-2024-8017に関するopen-webuiの公式アドバイザリはどこで入手できますか？

open-webuiの公式ウェブサイトまたはGitHubリポジトリで、CVE-2024-8017に関するアドバイザリをご確認ください。