Plataforma
nodejs
Componente
open-webui/open-webui
Corrigido em
0.3.9
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no open-webui, especificamente nas versões até 0.3.8. Essa falha reside na forma como as tooltips são construídas em HTML, permitindo que atacantes injetem scripts maliciosos. A exploração bem-sucedida pode resultar em roubo de informações sensíveis, manipulação de dados e, em casos onde a vítima é um administrador, escalação de privilégios. A atualização para uma versão corrigida é essencial para mitigar este risco.
A vulnerabilidade XSS no open-webui representa um risco significativo, pois permite que atacantes executem código JavaScript arbitrário no contexto do navegador da vítima. Isso significa que um atacante pode, por exemplo, roubar o histórico de chat do usuário, excluir conversas existentes ou, mais gravemente, se a vítima for um administrador, obter acesso administrativo completo ao sistema. A exploração pode ocorrer através da inserção de código malicioso em tooltips, que são então executados quando um usuário interage com a interface web. A ausência de validação adequada da entrada do usuário torna a aplicação suscetível a este tipo de ataque, abrindo caminho para a comprometimento da confidencialidade, integridade e disponibilidade dos dados.
A vulnerabilidade CVE-2024-8017 foi publicada em 2025-03-20. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há relatos de exploração ativa, mas a natureza da vulnerabilidade XSS a torna um alvo potencial para atacantes. A disponibilidade de um proof-of-concept público poderia acelerar a exploração.
Organizations and individuals using open-webui for chat applications, particularly those with administrator accounts, are at significant risk. Shared hosting environments where multiple users share the same open-webui instance are especially vulnerable, as an attacker could potentially compromise all users on the server. Users relying on legacy configurations or outdated security practices are also at increased risk.
• nodejs: Monitor application logs for unusual JavaScript execution patterns or errors related to HTML rendering. Use Node.js security linters to identify potential XSS vulnerabilities in the codebase.
npm audit open-webui• generic web: Inspect HTTP response headers for Content-Security-Policy (CSP) directives. A missing or weak CSP can increase the risk of XSS attacks.
curl -I https://your-open-webui-instance.com |
grep -i content-security-policydisclosure
Status do Exploit
EPSS
0.10% (percentil 28%)
CISA SSVC
Vetor CVSS
A principal mitigação para a vulnerabilidade CVE-2024-8017 é a atualização imediata para uma versão corrigida do open-webui. Enquanto a atualização não for possível, considere implementar medidas de proteção adicionais, como a aplicação de regras de firewall (WAF) para bloquear payloads XSS conhecidos. Além disso, a validação e sanitização rigorosas de todas as entradas do usuário são cruciais para prevenir a injeção de código malicioso. Após a atualização, verifique a funcionalidade das tooltips para garantir que a vulnerabilidade foi efetivamente corrigida e que não há regressões.
Atualize open-webui para uma versão posterior a 0.3.8 que contenha a correção para a vulnerabilidade XSS. Consulte o registro de alterações do projeto ou as notas da versão para obter mais detalhes sobre a atualização e as medidas de segurança implementadas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-8017 is a critical Cross-Site Scripting (XSS) vulnerability in open-webui versions up to 0.3.8, allowing attackers to execute malicious scripts and potentially gain admin privileges.
If you are using open-webui version 0.3.8 or earlier, you are potentially affected by this vulnerability. Check your version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of open-webui. Monitor the project's official channels for updates and apply the patch as soon as it is released. Implement CSP as a temporary mitigation.
Active exploitation is not yet confirmed, but the vulnerability's severity and potential impact suggest it could become a target. Monitor security advisories and implement mitigations proactively.
Check the official open-webui project's website and GitHub repository for security advisories and updates related to CVE-2024-8017.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.