- Open WebUI carregava CVE-2025-64496, uma falha crítica de injeção de código em funções de conexão direta.
- A exploração pode permitir o controle de contas e RCE por meio de URLs e sequências de padrões maliciosos da API de função.
- O patch v0.6.35 adiciona proteções de middleware; Usuários solicitados a limitar conexões ativas e controlar permissões de ferramentas
Open WebUI, uma interface web auto-hospedada de código aberto para interagir com modelos de linguagem de IA locais ou remotos, tinha uma vulnerabilidade crítica que poderia permitir o sequestro de contas e, em alguns casos, a execução remota de código (RCE).
Esse é Vitaly Simonovich Cato CTRL Pesquisador Sênior de Segurança, que, em outubro de 2025, divulgou uma vulnerabilidade que agora permanece como CVE-2025-64496.
Essa falha, que recebeu uma pontuação de gravidade de 8,0/10 (alta), é descrita como uma falha de injeção de código nos recursos do Direct Connect que permite que os agentes da ameaça executem JavaScript arbitrário para acionar eventos SSE (Server-Sent Event) nos navegadores.
Usuários convidados para corrigir
As conexões diretas permitem que os usuários conectem diretamente a interface a servidores de modelo externos compatíveis com OpenAI, especificando um endpoint de API personalizado.
Ao abusar da falha, os agentes da ameaça podem roubar tokens e assumir completamente o controle das contas comprometidas. Eles, por sua vez, podem ser encadeados com a API Functions para executar código remoto no servidor back-end.
O lado bom, de acordo com o NVD, é que a vítima deve primeiro ativar as conexões diretas, que estão desativadas por padrão, e adicionar o URL do padrão malicioso do invasor. Este último, contudo, pode ser alcançado de forma relativamente fácil através da engenharia social.
As versões afetadas incluem v.0.6.34 e anteriores, e os usuários são aconselhados a corrigir para a versão 0.6.35 ou posterior. Segundo Cato, a correção adiciona middleware para bloquear a execução de SSEs em servidores Direct Connection.
Além disso, os pesquisadores disseram que os usuários deveriam tratar as conexões com servidores externos de IA como código de terceiros e, com isso em mente, deveriam limitar as conexões diretas apenas a serviços devidamente autenticados.
Por fim, os usuários devem restringir as permissões do workspace.tools apenas a usuários essenciais e manter o controle sobre a criação de ferramentas suspeitas. “Esta é uma violação do limite de confiança entre servidores de modelo não confiáveis e o contexto de navegador confiável”, concluiu Cato.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
