何が起きたか
Open WebUI 0.9.6より前では、チャットメッセージリスナーはtype input:promptおよびaction:submitの非同一オリジンpostMessageイベントを受け入れます。同じブラウザセッション内で訪問した外部サイトは、認証されている被害者のOpen WebUI タブでプロンプトテキストを静かに設定し、submitPrompt()をトリガーでき、ユーザーのアクション無しでAI モデルに任意のプロンプトが送信されるようにします。CVSS 7.1 High(2026-06-23公開)。
なぜ重要か
これはクロスオリジンプロンプト挿入攻撃です。任意のウェブサイトが認証されているOpen WebUI セッションを制御でき、LLMに任意のプロンプトを提出し、応答を抽出し、エージェントツールを経由してピボット、またはチャット履歴を流出させることができます(ユーザーの知識またはインタラクション無し)。Open WebUIは数十万のセルフホスト展開を持っています。
攻撃経路
攻撃者が制御するウェブページがwindow.postMessage({type:'input:prompt', data:'...'})の後に{type:'action:submit'}を使用してOpen WebUI タブをターゲット化。認証されているセッションでプロンプト提出をトリガー
影響を受けるシステム
Open WebUI < 0.9.6
緩和策
Open WebUI 0.9.6にアップグレードしてください。Advisory: https://github.com/open-webui/open-webui/security/advisories/GHSA-3vv5-8xxp-4f55