技術的な説明
GitHub Security Advisory は、バージョン 0.9.5 より前の自己ホスト型 AI プラットフォームである Open WebUI に存在する脆弱性クラスタを開示しました。脆弱性には、URL 検証バイパス経由の SSRF (CVE-2026-45401、CVSS 8.5)、ユーザー制御リソースへの無許可ファイル添付 (CVE-2026-45402、CVSS 8.1)、モデルごとの ACL をバイパスする無許可モデルアクセス (CVE-2026-44563、CVSS 5.4)、未認証 RAG パイプライン設定の開示 (CVE-2026-45397、CVSS 5.3)、およびモデルアクセス許可の設定ミスによるシステムプロンプト漏洩 (CVE-2026-45387、CVSS 4.3) が含まれます。
攻撃経路
SSRF 脆弱性により、攻撃者は URL 検証をバイパスして内部リソースにアクセスできます。ファイル添付の問題により、攻撃者が制御するフォルダまたはナレッジベースへのファイルの無許可な関連付けが可能になります。モデルアクセスバイパスは、モデルごとの ACL を強制せずにアップストリーム LLM プロバイダーにリクエストを転送します。RAG 設定開示は、ライブパイプライン設定を未認証クライアントに露出させます。プロンプト漏洩は、グループ読み取りアクセスが意図せずにシステムプロンプトを所有者以外のユーザーに露出させる場合に発生します。
影響を受けるシステム
Open WebUI バージョン 0.9.5 より前のバージョン。Open WebUI は、開発者および小規模チーム環境で特に AI モデルをローカルで実行するための自己ホスト型プラットフォームとして中程度にデプロイされています。
緩和策
Open WebUI バージョン 0.9.5 以降に直ちにアップグレードしてください。モデル、フォルダ、およびナレッジベースのアクセス制御ポリシーを確認し強化してください。RAG パイプライン設定を監査し、認証を必要とする API エンドポイントを制限してください。システムプロンプトがグループレベルのモデルアクセス許可を通じて公開されていないことを確認してください。