Apa yang terjadi
Endpoint POST /api/chat/completions di Open WebUI menerapkan penanganan khusus ke nilai image_url.url berdasarkan prefiks URL. Nilai yang tidak cocok dengan skema URL yang diharapkan diperlakukan sebagai ID file dan diselesaikan terhadap penyimpanan file global tanpa memeriksa apakah pengguna yang melakukan permintaan memiliki file yang direferensikan. Ini memungkinkan pengguna yang diautentikasi apa pun untuk membaca file arbitrer yang diunggah oleh pengguna lain.
Mengapa penting
Dalam penyebaran Open WebUI tingkat enterprise, pengguna mengunggah dokumen sensitif, kode, dan data sebagai konteks untuk percakapan LLM. IDOR ini memungkinkan pengguna apa pun untuk diam-diam mengeksfiltrasi file pribadi pengguna lain — termasuk dokumen yang dimasukkan ke dalam alur kerja RAG atau analisis.
Vektor serangan
Penyerang mengirim permintaan POST /api/chat/completions dengan nilai image_url.url yang tidak dimulai dengan http://, https://, atau data:image/; server menginterpretasikannya sebagai ID file dan menyelesaikannya terhadap penyimpanan file global, mengembalikan file apa pun yang dimiliki pengguna apa pun
Sistem yang terdampak
Open WebUI < 0.9.6
Mitigasi
Tingkatkan ke Open WebUI 0.9.6. Pemberitahuan: https://github.com/open-webui/open-webui/security/advisories/GHSA-wch8-mhj5-9frg