Уязвимость безопасности была обнаружена в open-webui до версии 0.6.16. Затронута неизвестная функция файла backend/start_windows.bat компонента JWT Key Handler. Такая манипуляция аргументом WEBUI_SECRET_KEY приводит к недостаточно случайным значениям.
Атаку можно запустить удаленно. Атака требует высокого уровня сложности. Говорят, что эксплуатация будет сложной.
Эксплойт был раскрыт публично и может быть использован.
Показать оригинальное описание (EN)
A security vulnerability has been detected in open-webui up to 0.6.16. Affected is an unknown function of the file backend/start_windows.bat of the component JWT Key Handler. Such manipulation of the argument WEBUI_SECRET_KEY leads to insufficiently random values. It is possible to launch the attack remotely. The attack requires a high level of complexity. The exploitability is told to be difficult. The exploit has been disclosed publicly and may be used.
Характеристики атаки
Последствия
Строка CVSS v4.0