Platform
nodejs
Component
open-webui/open-webui
Opgelost in
0.3.9
CVE-2024-8017 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in open-webui, een Node.js applicatie. Deze kwetsbaarheid stelt aanvallers in staat om kwaadaardige scripts uit te voeren met de privileges van de gebruiker, wat kan leiden tot dataverlies en ongeautoriseerde toegang. De kwetsbaarheid treedt op in versies van open-webui tot en met 0.3.8 en is op 20 maart 2025 openbaar gemaakt. Een upgrade naar een beveiligde versie is noodzakelijk om de risico's te mitigeren.
De impact van deze XSS-kwetsbaarheid is aanzienlijk. Een succesvolle exploitatie kan leiden tot het stelen van chatgeschiedenis, het verwijderen van chats en, in het geval van een admin-gebruiker, het escaleren van de aanvaller naar een administrator account. Dit geeft de aanvaller volledige controle over de open-webui installatie. De mogelijkheid om adminrechten te verwerven maakt dit een bijzonder gevaarlijke kwetsbaarheid, aangezien het de aanvaller in staat stelt om de applicatie te manipuleren, data te wijzigen en verdere aanvallen uit te voeren. De kwetsbaarheid is direct te exploiteren via de tooltip-functionaliteit, waardoor de aanval relatief eenvoudig te realiseren is.
Op dit moment is er geen informatie beschikbaar over actieve exploits in de wild. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is toegevoegd aan de NVD database op 20 maart 2025. De EPSS score is momenteel onbekend, maar gezien de kritieke CVSS score en de potentiële impact, is het belangrijk om deze kwetsbaarheid serieus te nemen en snel te mitigeren.
Organizations and individuals using open-webui for chat applications, particularly those with administrator accounts, are at significant risk. Shared hosting environments where multiple users share the same open-webui instance are especially vulnerable, as an attacker could potentially compromise all users on the server. Users relying on legacy configurations or outdated security practices are also at increased risk.
• nodejs: Monitor application logs for unusual JavaScript execution patterns or errors related to HTML rendering. Use Node.js security linters to identify potential XSS vulnerabilities in the codebase.
npm audit open-webui• generic web: Inspect HTTP response headers for Content-Security-Policy (CSP) directives. A missing or weak CSP can increase the risk of XSS attacks.
curl -I https://your-open-webui-instance.com |
grep -i content-security-policydisclosure
Exploit Status
EPSS
0.10% (28% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-8017 is het upgraden naar een beveiligde versie van open-webui. Controleer de officiële repository of de vendor voor de meest recente versie met de correctie. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om XSS-aanvallen te blokkeren. Configureer de WAF om inputvalidatie toe te passen op alle parameters die naar de tooltip-functionaliteit worden verzonden. Daarnaast kan het beperken van de rechten van gebruikers, zodat niet iedereen adminrechten heeft, de impact van een succesvolle exploitatie verminderen. Na de upgrade, controleer de logbestanden op verdachte activiteit en valideer dat de tooltip-functionaliteit correct werkt zonder XSS-risico’s.
Werk open-webui bij naar een versie later dan 0.3.8 die de correctie voor de XSS-kwetsbaarheid bevat. Raadpleeg het changelog van het project of de release notes voor meer details over de update en de geïmplementeerde beveiligingsmaatregelen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-8017 is a critical Cross-Site Scripting (XSS) vulnerability in open-webui versions up to 0.3.8, allowing attackers to execute malicious scripts and potentially gain admin privileges.
If you are using open-webui version 0.3.8 or earlier, you are potentially affected by this vulnerability. Check your version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of open-webui. Monitor the project's official channels for updates and apply the patch as soon as it is released. Implement CSP as a temporary mitigation.
Active exploitation is not yet confirmed, but the vulnerability's severity and potential impact suggest it could become a target. Monitor security advisories and implement mitigations proactively.
Check the official open-webui project's website and GitHub repository for security advisories and updates related to CVE-2024-8017.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.