Критическая уязвимость в Open WebUI: удалённое выполнение кода через загрузку вредоносных файлов

vulnerability

В реестр уязвимостей Банка данных угроз безопасности информации (BDU) внесена запись о критической проблеме безопасности в популярном интерфейсе для работы с большими языковыми моделями Open WebUI. Уязвимость, получившая идентификатор BDU:2026-09526 и номер CVE-2026-44566, позволяет злоумышленнику удалённо загрузить на сервер произвольный файл. Атака не требует предварительной аутентификации, что делает её особенно опасной.

Детали уязвимости

Речь идёт о продукте Open WebUI - веб-интерфейсе с открытым исходным кодом на базе искусственного интеллекта. Он позволяет пользователям запускать и взаимодействовать с языковыми моделями прямо из браузера. Инструмент активно применяется как корпоративными командами, так и частными специалистами для развёртывания AI-ассистентов. Уязвимость затрагивает все версии продукта вплоть до 0.1.124. Разработчики уже выпустили исправление в версии 0.1.124, и все, кто использует более ранние сборки, находятся в зоне риска.

Проблема заключается в комбинации двух типов ошибок. Первая классифицируется как CWE-22 (неверное ограничение имени пути к каталогу, или обход пути). Вторая - CWE-434 (неограниченная загрузка файлов опасного типа). Простыми словами, злоумышленник может манипулировать ссылками на файлы, чтобы выйти за пределы разрешённых директорий. Вместе с отсутствием проверки типов загружаемых данных это даёт возможность загрузить на сервер исполняемый код. Вредоносный файл может быть обычным на первый взгляд скриптом, который после загрузки и запуска даёт атакующему полный контроль над системой.

Согласно данным из BDU, эксплуатация уязвимости уже подтверждена производителем. Более того, в открытом доступе существует готовый эксплойт. Это значит, что для проведения атаки не требуется высокой квалификации - достаточно скачать готовый инструмент. Базовый вектор по шкале CVSS 3.1 составляет 9,8 балла из 10. Это критический уровень опасности. Такая высокая оценка объясняется тем, что уязвимость не требует аутентификации и позволяет атакующему получить полный доступ к системе.

Какие риски несёт эта уязвимость для пользователей? Прежде всего, полная компрометация сервера, на котором работает Open WebUI. Злоумышленник может не только украсть данные, но и модифицировать их, установить программы-вымогатели или использовать захваченный сервер как точку входа в корпоративную сеть. Учитывая, что Open WebUI часто разворачивается для внутренних нужд компаний и может иметь доступ к чувствительным корпоративным данным, последствия атаки могут быть катастрофическими. Особенно опасна ситуация, когда экземпляр интерфейса доступен из интернета без дополнительной защиты. В таком случае злоумышленник может атаковать его напрямую.

Способ эксплуатации в документе описан как "злоупотребление функционалом" и "манипулирование ресурсами". Это означает, что атакующий использует штатные функции приложения, но с вредоносной целью. Например, он может отправить специально сформированный запрос на загрузку файла, указав в нём путь за пределами разрешённой папки. Система без проверки примет этот запрос и сохранит файл в корневую директорию сервера. После этого останется только активировать его через веб-интерфейс. Подобные атаки часто называют обход пути (path traversal).

Помимо очевидного риска для корпоративных пользователей, стоит отметить угрозу для операторов публичных сервисов на базе Open WebUI. Если кто-то предоставляет доступ к AI-моделям через этот интерфейс внешним пользователям, уязвимость может быть использована для атаки на всех клиентов такого сервиса. Кроме того, возможна атака на цепочку поставок: вредоносный код может быть загружен в образы контейнеров или системные скрипты, что приведёт к заражению развёртываемых копий.

В BDU указано, что уязвимость устранена в версии 0.1.124. Разработчики рекомендуют всем пользователям как можно скорее обновить свои экземпляры. Ссылка на страницу загрузки исправления приведена в официальном уведомлении безопасности. Обновление необходимо установить даже на изолированные от интернета системы, поскольку не исключена возможность атаки из внутренней сети. Также рекомендуется проверить логи сервера на предмет подозрительных файлов, загруженных до обновления. Если в системе обнаружены неизвестные скрипты или исполняемые файлы, это может свидетельствовать о компрометации.

Для тех, кто не может немедленно обновить версию, временной мерой защиты может стать ограничение доступа к веб-интерфейсу по IP-адресам и настройка веб-приложения на работу только по HTTPS с обязательной аутентификацией. Однако полагаться только на эти меры не стоит - уязвимость критическая, и задержка с обновлением может стоить безопасности всей инфраструктуры.

Это не первый случай, когда популярные инструменты для работы с искусственным интеллектом становятся мишенью из-за недостатков архитектуры. Рынок AI-решений растёт стремительно, и безопасники отмечают, что многие продукты, особенно с открытым исходным кодом, проходят недостаточно тщательное тестирование на защищённость. Open WebUI - один из самых популярных интерфейсов, и его репутация среди специалистов высока, но данный инцидент напоминает: доверять приложению без проверки обновлений безопасности нельзя.

Ссылки

Комментарии: 0