CVE-2024-30256

Опубликовано: 16 апр. 2024

Источник: nvd

CVSS3: 6.4

EPSS Низкий

Описание

Open WebUI is a user-friendly WebUI for LLMs. Open-webui is vulnerable to authenticated blind server-side request forgery. This vulnerability is fixed in 0.1.117.

Ссылки

https://github.com/open-webui/open-webui/security/advisories/GHSA-39wr-r5vm-3jxj
Vendor Advisory
https://securitylab.github.com/advisories/GHSL-2024-033_open-webui
Exploit
Third Party Advisory
https://github.com/open-webui/open-webui/security/advisories/GHSA-39wr-r5vm-3jxj
Vendor Advisory
https://securitylab.github.com/advisories/GHSL-2024-033_open-webui
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:openwebui:open_webui:*:*:*:*:*:*:*:*

Версия до 0.1.117 (исключая)

EPSS

Процентиль: 46%

0.00234

Низкий

6.4 Medium

CVSS3

Дефекты

CWE-918

Связанные уязвимости

BDU:2024-03923

CVSS3: 6.3

fstec

почти 2 года назад

Уязвимость функции download_file_stream() (backend/apps/web/routers/utils.py) веб-интерфейса на базе искуственного интеллекта Open WebUI (ранее Ollama WebUI), позволяющая нарушителю осуществить SSRF-атаку