https://blog.qife122.com/tags/sse%E4%BA%8B%E4%BB%B6/ Recent content in SSE事件 on 办公AI智能小助手 Hugo zh-cn qife Mon, 24 Nov 2025 17:16:59 +0800 https://blog.qife122.com/p/open-webui-%E5%A4%96%E9%83%A8%E6%A8%A1%E5%9E%8B%E6%9C%8D%E5%8A%A1%E5%99%A8%E4%BB%A3%E7%A0%81%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Mon, 24 Nov 2025 17:16:59 +0800 https://blog.qife122.com/p/open-webui-%E5%A4%96%E9%83%A8%E6%A8%A1%E5%9E%8B%E6%9C%8D%E5%8A%A1%E5%99%A8%E4%BB%A3%E7%A0%81%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="open-webui-受外部模型服务器影响的代码注入漏洞分析">Open WebUI 受外部模型服务器影响的代码注入漏洞分析</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>Open WebUI v0.6.33及以下版本在直接连接功能中存在代码注入漏洞，允许恶意外部模型服务器通过服务器发送事件（SSE）的execute事件在受害者浏览器中执行任意JavaScript代码。这会导致身份验证令牌被盗、完全账户被接管，当与Functions API结合使用时，还能在后台服务器上实现远程代码执行。</p>