事件经过
Open WebUI 中的 POST /api/chat/completions 端点根据 URL 前缀对 image_url.url 值应用特殊处理。不匹配预期 URL 方案的值被视为文件 ID,并针对全局文件存储进行解析,而不检查请求用户是否拥有引用的文件。这允许任何经过身份验证的用户读取由其他用户上传的任意文件。
影响分析
在企业 Open WebUI 部署中,用户上传敏感文档、代码和数据作为 LLM 对话的上下文。此 IDOR 允许任何用户无声地泄露另一用户的私有文件 — 包括输入到 RAG 或分析工作流中的文档。
攻击途径
攻击者发送 POST /api/chat/completions 请求,其中 image_url.url 值不以 http://、https:// 或 data:image/ 开头;服务器将其解释为文件 ID,并针对全局文件存储进行解析,返回属于任何用户的任何文件
受影响系统
Open WebUI < 0.9.6
缓解措施
升级至 Open WebUI 0.9.6。公告:https://github.com/open-webui/open-webui/security/advisories/GHSA-wch8-mhj5-9frg