事件经过
在 Open WebUI 0.9.6 之前,聊天消息监听器接受来自非同源 postMessage 事件的 input:prompt 和 action:submit 类型。在同一浏览器会话中访问的外部网站可以无声地在经过身份验证的受害者的 Open WebUI 标签中设置提示文本并触发 submitPrompt(),导致任意提示发送到 AI 模型,无需用户操作。CVSS 7.1 高,发布于 2026-06-23。
影响分析
这是跨源提示注入攻击:任何网站都可以接管经过身份验证的 Open WebUI 会话并向 LLM 提交任意提示、提取响应、通过代理工具进行横向移动或窃取聊天历史 — 无需用户知道或交互。Open WebUI 拥有数十万个自托管部署。
攻击途径
攻击者控制的网页使用 window.postMessage({type:'input:prompt', data:'...'}) 后跟 {type:'action:submit'} 目标为同一浏览器中的 Open WebUI 标签;在经过身份验证的会话中触发提示提交
受影响系统
Open WebUI < 0.9.6
缓解措施
升级到 Open WebUI 0.9.6。公告:https://github.com/open-webui/open-webui/security/advisories/GHSA-3vv5-8xxp-4f55