Apa yang terjadi
Sebelum Open WebUI 0.9.6, pendengar pesan chat menerima acara postMessage non-same-origin tipe input:prompt dan action:submit. Situs eksternal yang dikunjungi dalam sesi browser yang sama dapat secara diam-diam mengatur teks prompt dan memicu submitPrompt() di tab Open WebUI korban yang terautentikasi, menyebabkan prompt arbitrer dikirim ke model AI tanpa tindakan pengguna. CVSS 7.1 High, dipublikasikan 2026-06-23.
Mengapa penting
Ini adalah serangan injeksi prompt lintas asal: situs web apa pun dapat mengendalikan sesi Open WebUI terautentikasi dan mengibarkan prompt arbitrer ke LLM, ekstrak respons, berporos melalui alat agen, atau jarah riwayat chat — tanpa pengetahuan atau interaksi pengguna. Open WebUI memiliki ratusan ribu penerapan yang dihosting sendiri.
Vektor serangan
Halaman web yang dikontrol penyerang menggunakan window.postMessage({type:'input:prompt', data:'...'}) diikuti oleh {type:'action:submit'} menargetkan tab Open WebUI dalam browser yang sama; memicu pengiriman prompt dalam sesi terautentikasi
Sistem yang terdampak
Open WebUI < 0.9.6
Mitigasi
Tingkatkan ke Open WebUI 0.9.6. Pemberitahuan: https://github.com/open-webui/open-webui/security/advisories/GHSA-3vv5-8xxp-4f55