Open WebUI XSS漏洞(CVE-2025-64495)通过恶意提示词实现管理员RCE风险

Open WebUI（一个开源自托管AI界面框架）的开发团队发布安全公告，披露了一个影响0.6.34及之前版本的高危漏洞（CVE-2025-64495，CVSS评分8.7）。该漏洞存在于平台的提示词处理功能中，当启用"以富文本形式插入提示词"功能时，攻击者能够实现存储型DOM跨站脚本攻击（XSS），并可进一步升级为账户接管（ATO）甚至主机系统的远程代码执行（RCE）。

根据项目维护者的说明：“当启用’以富文本形式插入提示词’功能时，将自定义提示词插入聊天窗口的功能容易受到DOM XSS攻击，因为提示词正文被直接分配给DOM接收器.innerHTML而未经过净化处理。”

这意味着任何具有创建提示词权限的用户都可以向平台注入恶意HTML或JavaScript代码，这些代码将在其他用户与受感染的提示词交互时执行。

漏洞技术细节

该漏洞源于open-webui/src/lib/components/common/RichTextInput.svelte第348行的一个代码片段，其中用户提供的HTML直接在浏览器中渲染。

研究人员演示了一个概念验证（PoC）漏洞利用，攻击者可以制作恶意提示词，并在聊天界面中使用/poc命令触发。执行时，注入的有效负载将在受害者的浏览器上下文中运行，可能窃取会话令牌或执行未经授权的操作。

管理员账户的严重风险

虽然此漏洞对所有用户都很严重，但如果管理员账户受到影响，风险将变得灾难性。公告警告：

“由于管理员自然可以通过’Functions’功能在服务器上运行任意Python代码，此XSS可能被用来强制任何触发它的管理员运行攻击者选择的Python代码函数。”

通过利用XSS冒充合法的管理员请求，攻击者可以创建并执行恶意的服务器端Python函数。其中一个提供的PoC有效负载使用了以下技术：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

fetch("https://<HOST>/api/v1/functions/create", {
  method: "POST",
  credentials: "include",
  headers: {
    "Content-Type": "application/json",
    "Accept": "application/json"
  },
  body: JSON.stringify({
    id: "pentest_cmd_test",
    name: "pentest cmd test",
    meta: { description: "pentest cmd test" },
    content: "import os;os.system('echo RCE')"
  })
})

如果成功触发，该有效负载可以从Open WebUI主机打开反向shell连接，授予攻击者完整的命令行控制权。

修复建议

Open WebUI项目已在0.6.35版本中解决了此问题，该版本引入了适当的HTML净化处理。

强烈建议用户和管理员立即升级，并验证"以富文本形式插入提示词"功能是否保持禁用状态，除非严格需要。还建议启用内容安全策略（CSP）和沙盒机制以进一步减少暴露风险。