Platform
python
Component
open-webui
Opgelost in
0.5.17
CVE-2024-8060 is een Remote Code Execution (RCE) kwetsbaarheid in OpenWebUI, een Python-gebaseerde webinterface. Deze kwetsbaarheid stelt geauthenticeerde gebruikers in staat om bestanden te uploaden en kritieke bestanden binnen de Docker container te overschrijven, wat resulteert in potentieel remote code execution als root gebruiker. De kwetsbaarheid treft versies van OpenWebUI tot en met 0.5.9. Een fix is beschikbaar in versie 0.5.17.
Een succesvolle exploitatie van CVE-2024-8060 kan leiden tot volledige controle over de Docker container waarin OpenWebUI draait. Dit betekent dat een aanvaller in staat is om willekeurige code uit te voeren met root privileges. De impact is significant, aangezien dit kan resulteren in data-exfiltratie, systeemcompromittering en verdere aanvallen op andere systemen binnen het netwerk. De mogelijkheid om bestanden te overschrijven, maakt het mogelijk om malware te installeren of configuratiebestanden te wijzigen, waardoor de aanvaller een permanente foothold kan creëren. De kwetsbaarheid is vergelijkbaar met andere path traversal kwetsbaarheden waarbij onvoldoende validatie van bestandsnamen en content types wordt uitgevoerd.
De kwetsbaarheid is openbaar bekend sinds 2025-03-20. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de mogelijkheid tot remote code execution maakt het een aantrekkelijk doelwit. Het is waarschijnlijk dat er in de toekomst proof-of-concept exploits beschikbaar komen. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven.
Organizations deploying OpenWebUI within Docker containers, particularly those using it for sensitive audio processing tasks, are at significant risk. Shared hosting environments where OpenWebUI is installed could also be vulnerable if multiple users share the same container.
• linux / server: Monitor Docker container logs for unusual file creation or modification activity, particularly within the OpenWebUI application directory. Use journalctl -u openwebui to check for suspicious API calls.
journalctl -u openwebui | grep '/audio/api/v1/transcriptions'• generic web: Monitor web server access logs for requests to /audio/api/v1/transcriptions with unusual or unexpected Content-Type headers.
grep '/audio/api/v1/transcriptions' /var/log/apache2/access.log• python: If you have access to the OpenWebUI source code, review the /audio/api/v1/transcriptions endpoint for inadequate file validation logic.
disclosure
Exploit Status
EPSS
0.92% (76% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-8060 is het upgraden van OpenWebUI naar versie 0.5.17 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) die de /audio/api/v1/transcriptions endpoint blokkeert of de upload van bestanden beperkt. Daarnaast kan het configureren van de Docker container met een minder bevoorrechte gebruiker de impact van een succesvolle exploitatie verminderen. Controleer de bestandsrechten binnen de container om te zorgen dat kritieke bestanden niet beschrijfbaar zijn door de gebruiker die OpenWebUI draait. Na de upgrade, verifieer de fix door een poging te wagen om een bestand te uploaden via de /audio/api/v1/transcriptions endpoint en controleer of de upload wordt geblokkeerd.
Actualice OpenWebUI a una versión posterior a la 0.3.0 que corrija la vulnerabilidad de carga de archivos arbitrarios. Consulte las notas de la versión para obtener más detalles sobre la actualización. Como medida temporal, restrinja el acceso al endpoint `/audio/api/v1/transcriptions` hasta que se pueda realizar la actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-8060 is a Remote Code Execution vulnerability in OpenWebUI versions up to 0.5.9, allowing authenticated users to upload arbitrary files and potentially gain root access.
You are affected if you are running OpenWebUI version 0.5.9 or earlier. Upgrade to 0.5.17 or later to resolve the vulnerability.
Upgrade OpenWebUI to version 0.5.17 or later. As a temporary workaround, implement a WAF rule to block requests to the vulnerable endpoint.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a potential for rapid exploitation.
Refer to the OpenWebUI GitHub repository for updates and advisories regarding CVE-2024-8060: [https://github.com/open-webui/open-webui](https://github.com/open-webui/open-webui)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.