何が起きたか
Open WebUI の get_event_call は、セッションが接続されていることだけをチェックしたあとの execute:python および execute:tool Socket.IO イベントをクライアント提供の session_id に配信しました。これにより、別のユーザーの session_id を学習または推測する認証済みユーザーは、その他のユーザーのセッション コンテキスト内でコード/ツール実行イベントをトリガーできます。
なぜ重要か
これにより、共有 Open WebUI デプロイメント内のユーザー間の横方向の特権悪用が可能になります。つまり、低いセッション ID を学習した低い権限の認証済みユーザーは、別のユーザーのコード実行またはツール実行コンテキストをハイジャックでき、コード実行とツール呼び出しに使用される自己ホスト型 AI プラットフォーム内のセッションごとの分離を弱体化させます。
攻撃経路
別のユーザーの session_id を学習した認証済み攻撃者は、その session_id をターゲットとする execute:python/execute:tool Socket.IO イベントを送信し、セッションごとの分離をバイパスします。
影響を受けるシステム
Open WebUI 0.9.6 から < 0.10.0
緩和策
Open WebUI ≥0.10.0 にアップグレードします。