Platform
other
Component
open-webui
Opgelost in
0.6.38
CVE-2025-65958 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in Open WebUI, een offline AI-platform. Deze kwetsbaarheid stelt geauthenticeerde gebruikers in staat om de server te dwingen HTTP-verzoeken naar willekeurige URL's te sturen, wat potentieel leidt tot ongeautoriseerde toegang tot interne systemen en data. De kwetsbaarheid treft versies van Open WebUI tot en met 0.6.37. Een fix is beschikbaar in versie 0.6.37.
De SSRF-kwetsbaarheid in Open WebUI stelt een aanvaller in staat om de server te misbruiken om HTTP-verzoeken naar externe of interne bronnen te sturen. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals cloud metadata (AWS, GCP, Azure), het scannen van interne netwerken op kwetsbare diensten en het exfiltreren van data. Een aanvaller kan bijvoorbeeld toegang krijgen tot cloud credentials of interne API's die anders beschermd zouden zijn door firewalls. De impact is aanzienlijk, aangezien geen speciale privileges nodig zijn, alleen authenticatie.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve campagnes of KEV-listing op het moment van publicatie. Er zijn geen publieke proof-of-concept exploits bekend, maar de SSRF-aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig. De publicatiedatum is 2025-12-04.
Organizations deploying Open WebUI in environments with sensitive data or cloud integrations are particularly at risk. Shared hosting environments where multiple users share the same Open WebUI instance are also vulnerable, as a compromised user account could be used to exploit the SSRF vulnerability and impact other users. Any deployment using legacy configurations or outdated network security policies is also at increased risk.
• linux / server: Monitor Open WebUI logs for unusual outbound HTTP requests. Use journalctl -u open-webui to filter for requests to unexpected domains or IP addresses.
journalctl -u open-webui | grep -i "http:" | grep -v "localhost"• generic web: Use curl or wget to test outbound connectivity from the Open WebUI server. Attempt to connect to a known safe external URL and verify that the connection is successful. Examine access and error logs for suspicious patterns.
curl -v https://example.com 2>&1 | grep -i "connection:" disclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-65958 is het upgraden van Open WebUI naar versie 0.6.37 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om uitgaande HTTP-verzoeken te beperken en te filteren. Configureer de WAF om verzoeken naar onbekende of potentieel schadelijke domeinen te blokkeren. Controleer de configuratie van Open WebUI om te zorgen voor een minimale set toegestane URL's. Na de upgrade, verifieer de fix door een geauthenticeerde gebruiker te laten proberen een HTTP-verzoek naar een externe URL te sturen; dit zou moeten mislukken.
Werk Open WebUI bij naar versie 0.6.37 of hoger. Deze versie corrigeert de SSRF-kwetsbaarheid die geauthenticeerde gebruikers in staat stelt om HTTP-verzoeken naar willekeurige URL's te doen, waardoor het risico op toegang tot cloud metadata, scannen van interne netwerken en exfiltratie van gevoelige informatie wordt verminderd.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-65958 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in Open WebUI tot en met versie 0.6.37, waardoor geauthenticeerde gebruikers de server kunnen misbruiken om HTTP-verzoeken naar willekeurige URL's te sturen.
Ja, als u Open WebUI gebruikt in versie 0.6.37 of lager, bent u kwetsbaar voor deze SSRF-kwetsbaarheid.
Upgrade Open WebUI naar versie 0.6.37 of hoger. Implementeer indien mogelijk een WAF om uitgaande verzoeken te beperken.
Er is momenteel geen bevestigd bewijs van actieve exploitatie, maar de SSRF-aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig.
Raadpleeg de Open WebUI documentatie en release notes voor de meest recente informatie over deze kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.