무슨 일이 있었나
Open WebUI 0.9.6 이전에 채팅 메시지 리스너는 input:prompt 및 action:submit 유형의 비동일 출처 postMessage 이벤트를 수용합니다. 동일 브라우저 세션에서 방문한 외부 사이트는 인증된 피해자의 Open WebUI 탭에서 프롬프트 텍스트를 자동으로 설정하고 submitPrompt()를 트리거하여 사용자 작업 없이 임의의 프롬프트를 AI 모델로 보낼 수 있습니다. CVSS 7.1 High, 2026-06-23에 게시됨.
왜 중요한가
이는 교차 출처 프롬프트 주입 공격입니다: 모든 웹사이트가 인증된 Open WebUI 세션을 제어하고 LLM에 임의의 프롬프트를 제출하며, 응답을 추출하고, 에이전트 도구를 통해 피벗하거나, 사용자의 지식이나 상호 작용 없이 채팅 기록을 유출할 수 있습니다. Open WebUI는 수십만의 자체 호스팅 배포를 가지고 있습니다.
공격 경로
공격자 제어 웹페이지는 window.postMessage({type:'input:prompt', data:'...'})를 사용한 후 {type:'action:submit'}를 동일한 브라우저의 Open WebUI 탭을 대상으로 사용합니다. 인증된 세션에서 프롬프트 제출을 트리거합니다.
영향받는 시스템
Open WebUI < 0.9.6
완화 방안
Open WebUI 0.9.6으로 업그레이드합니다. 권고: https://github.com/open-webui/open-webui/security/advisories/GHSA-3vv5-8xxp-4f55