무슨 일이 있었나
Open WebUI의 POST /api/chat/completions 엔드포인트는 URL 접두사를 기반으로 image_url.url 값에 특별한 처리를 적용합니다. 예상 URL 스킴과 일치하지 않는 값은 파일 ID로 취급되고 요청하는 사용자가 참조된 파일을 소유하는지 확인하지 않으면서 전역 파일 저장소에 대해 해결됩니다. 이를 통해 모든 인증된 사용자는 다른 사용자가 업로드한 임의의 파일을 읽을 수 있습니다.
왜 중요한가
엔터프라이즈 Open WebUI 배포에서 사용자는 LLM 대화에 대한 컨텍스트로 민감한 문서, 코드 및 데이터를 업로드합니다. 이 IDOR는 모든 사용자가 다른 사용자의 비공개 파일을 조용히 유출할 수 있게 하며 — RAG 또는 분석 워크플로우에 공급된 문서를 포함합니다.
공격 경로
공격자가 http://, https:// 또는 data:image/로 시작하지 않는 image_url.url 값으로 POST /api/chat/completions 요청을 전송합니다. 서버는 이를 파일 ID로 해석하고 전역 파일 저장소에 대해 해결하여, 모든 사용자에 속한 모든 파일을 반환합니다.
영향받는 시스템
Open WebUI < 0.9.6
완화 방안
Open WebUI 0.9.6으로 업그레이드하세요. 권고사항: https://github.com/open-webui/open-webui/security/advisories/GHSA-wch8-mhj5-9frg