CVE-2026-44556Open WebUI是一个自托管的人工智能平台。在0.9.0版本之前,OpenAI路由器中的/responses端点存在访问控制漏洞。虽然主要聊天完成端点会检查模型所有权和组成员资格,但/responses代理仅验证用户会话有效性,未强制执行模型级别的访问控制。这导致任何经过身份验证的用户都可以通过向/api/openai/responses发送带有任意模型ID的POST请求,绕过权限检查直接与实例上配置的任何模型进行交互。
该漏洞源于Open WebUI在处理通过OpenAI兼容接口的请求时,不同端点之间实施了不一致的访问控制策略。具体而言,generate_chat_completion端点正确实施了权限校验,包括检查用户是否拥有模型、是否属于特定组以及AccessGrants权限。然而,位于/api/openai/responses的代理端点仅调用了get_verified_user函数来确认用户已登录,而完全跳过了对目标模型ID的归属权验证。在利用方式上,攻击者首先需要拥有Open WebUI平台的合法账户(低权限即可)。登录获取有效会话后,攻击者构造特定的HTTP POST请求发送至/api/openai/responses端点。在请求体中,攻击者将model参数指定为原本无权访问的内部模型ID(例如管理员专用的GPT-4或其他付费模型)。由于服务器端缺乏对该模型ID与当前用户权限的比对检查,请求被直接转发给上游LLM提供商。这使得攻击者能够非法使用资源,导致资源滥用、数据泄露(若模型包含敏感上下文)以及服务可用性下降。