CVE-2025-63681 - Open-WebUI 不正确的访问控制漏洞
概述
漏洞时间线
描述
open-webui v0.6.33 版本存在不正确的访问控制漏洞。API /api/tasks/stop/ 直接访问并取消任务,但未验证用户所有权,使得攻击者(普通用户)能够停止任意的大型语言模型(LLM)响应任务。
信息
发布日期:2025年12月4日,下午4:16 最后修改日期:2025年12月4日,下午5:15 远程利用:否 来源:cve@mitre.org
受影响的产品
以下产品受到 CVE-2025-63681 漏洞的影响。即使 cvefeed.io 知晓受影响产品的确切版本,下表也未显示该信息。
无受影响产品记录
总计受影响厂商:0 | 产品:0
解决方案
强化任务取消API的所有权检查,以防止未经授权的访问。
- 在取消任务前验证用户所有权。
- 为API实施适当的授权机制。
- 更新到已修复访问控制问题的版本。
公告、解决方案和工具参考
此处,您将找到精选的外部链接列表,这些链接提供了与 CVE-2025-63681 相关的深入信息、实用解决方案和宝贵工具。
CWE - 通用缺陷枚举
虽然CVE标识特定的漏洞实例,但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-63681 与以下CWE相关联:
常见攻击模式枚举与分类 (CAPEC)
常见攻击模式枚举与分类 (CAPEC) 存储了攻击模式,这些模式描述了对手利用 CVE-2025-63681 弱点所采用的常见属性和方法。
漏洞历史详情
漏洞历史详情有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 行动 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | open-webui v0.33 is vulnerable to Incorrect Access Control. The API /api/tasks/stop/ directly accesses and cancels tasks without verifying user ownership, enabling attackers (a normal user) to stop arbitrary LLM response tasks. | |
| 新增 | 参考 | https://github.com/open-webui/open-webui/blob/46ae3f4f5d7d4d706041bdae4ad2d802e568712b/backend/open_webui/main.py#L1652 | |
| 新增 | 参考 | https://github.com/TOAST-Research/pocs/blob/main/openwebui/arbitirary_task_stop/report.md |
新CVE接收方:cve@mitre.org,日期:2025年12月4日
漏洞评分详情
此漏洞暂无CVSS指标可用。