Plataforma
other
Componente
open-webui
Corrigido em
0.6.38
A vulnerabilidade CVE-2025-65958 é uma falha de SSRF (Server-Side Request Forgery) descoberta na plataforma Open WebUI, um sistema de inteligência artificial auto-hospedado. Essa falha permite que usuários autenticados forcem o servidor a realizar requisições HTTP para URLs arbitrárias, comprometendo a segurança e confidencialidade dos dados. A vulnerabilidade afeta versões do Open WebUI anteriores à 0.6.37 e foi corrigida nesta versão.
Um atacante explorando essa vulnerabilidade pode realizar diversas ações maliciosas. A capacidade de forçar requisições HTTP a URLs arbitrárias permite o acesso a endpoints de metadados de serviços de nuvem como AWS, GCP e Azure, expondo informações sensíveis de configuração e credenciais. Além disso, o atacante pode escanear redes internas, acessar serviços protegidos por firewalls e, potencialmente, exfiltrar dados confidenciais. A ausência de permissões especiais além da autenticação básica torna a exploração relativamente simples e aumenta o risco de comprometimento.
A vulnerabilidade CVE-2025-65958 foi publicada em 2025-12-04. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A ausência de um PoC público não significa que a vulnerabilidade não possa ser explorada, mas indica um risco menor no momento. A avaliação de risco deve ser baseada na exposição do sistema Open WebUI e nas medidas de segurança implementadas.
Organizations deploying Open WebUI in environments with sensitive data or cloud integrations are particularly at risk. Shared hosting environments where multiple users share the same Open WebUI instance are also vulnerable, as a compromised user account could be used to exploit the SSRF vulnerability and impact other users. Any deployment using legacy configurations or outdated network security policies is also at increased risk.
• linux / server: Monitor Open WebUI logs for unusual outbound HTTP requests. Use journalctl -u open-webui to filter for requests to unexpected domains or IP addresses.
journalctl -u open-webui | grep -i "http:" | grep -v "localhost"• generic web: Use curl or wget to test outbound connectivity from the Open WebUI server. Attempt to connect to a known safe external URL and verify that the connection is successful. Examine access and error logs for suspicious patterns.
curl -v https://example.com 2>&1 | grep -i "connection:" disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-65958 é a atualização imediata para a versão 0.6.37 do Open WebUI. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar regras de firewall para restringir o acesso externo ao servidor Open WebUI. Além disso, revise as configurações de autenticação e autorização para garantir que apenas usuários autorizados tenham acesso à plataforma. Após a atualização, verifique se a vulnerabilidade foi corrigida realizando testes de penetração ou utilizando ferramentas de varredura de vulnerabilidades.
Atualize Open WebUI para a versão 0.6.37 ou superior. Esta versão corrige a vulnerabilidade SSRF que permite a usuários autenticados realizar requisições HTTP para URLs arbitrárias, mitigando o risco de acesso a metadados de nuvem, escaneamento de redes internas e exfiltração de informação sensível.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-65958 é uma vulnerabilidade SSRF que permite a usuários autenticados forçar requisições HTTP a URLs arbitrárias no Open WebUI, potencialmente expondo dados sensíveis e acessando recursos internos.
Se você estiver utilizando uma versão do Open WebUI anterior a 0.6.37, você está vulnerável a essa falha. Verifique sua versão e atualize imediatamente.
A correção é atualizar o Open WebUI para a versão 0.6.37. Se a atualização não for possível, implemente regras de firewall para restringir o acesso externo.
Não há evidências de exploração ativa no momento, mas a vulnerabilidade permanece um risco e deve ser corrigida.
Consulte o site oficial do Open WebUI ou o repositório GitHub do projeto para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.