事件经过
Open WebUI的get_event_call将execute:python和execute:tool Socket.IO事件传递给客户端提供的session_id,仅检查会话已连接,允许学习或猜测另一用户session_id的已认证用户在该其他用户的会话上下文中触发代码/工具执行事件。
影响分析
这允许在共享Open WebUI部署中进行横向权限滥用——较低权限的已认证用户可以劫持另一会话的代码执行或工具执行上下文,破坏自托管AI平台(用于代码执行和工具调用)中的按用户隔离。
攻击途径
已认证的攻击者学习另一用户的session_id发送execute:python/execute:tool Socket.IO事件以针对该session_id,绕过按会话隔离
受影响系统
Open WebUI 0.9.6到 < 0.10.0
缓解措施
升级到Open WebUI ≥0.10.0