{"id":15423,"date":"2026-01-07T15:14:13","date_gmt":"2026-01-07T15:14:13","guid":{"rendered":"https:\/\/newestek.com\/?p=15423"},"modified":"2026-01-07T15:14:13","modified_gmt":"2026-01-07T15:14:13","slug":"bug-in-open-webui-macht-kostenlos-tool-zur-backdoor","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=15423","title":{"rendered":"Bug in Open WebUI macht Kostenlos-Tool zur Backdoor"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
<\/div>\n<\/section>\n
\n
\n

Der Schweregrad des Bugs in Open WebUI wird als hoch eingestuft.<\/p>\n<\/figcaption><\/figure>\n

Wirestock Creators- shutterstock.com<\/p>\n<\/div>\n

Sicherheitsforschende von Cato Networks haben eine Schwachstelle in Open WebUI, einem selbstgehosteten Enterprise Interface f\u00fcr Large Language Models (LLM), entdeckt<\/a>. Diese soll es externen Modell-Servern, die \u00fcber das Feature \u201eDirect Connections\u201c eingebunden sind, erm\u00f6glichen, Schadcode einzuschleusen und KI-Workloads zu \u00fcbernehmen.<\/p>\n

Das Problem, gekennzeichnet als CVE-2025-64496<\/a>, beruht auf dem unsicheren Handling von Server-Sent Events (SSE). Dadurch k\u00f6nnen Benutzerkonten \u00fcbernommen und in einigen F\u00e4llen \u2013 bei erweiterten Berechtigungen \u2013 auch per Remote Code Execution<\/a> (RCE) auf Backend-Servern ausgef\u00fchrt werden.<\/p>\n

Laut den Experten kann das Frontend dazu verleitet werden, unbemerkt eingeschleustes JavaScript auszuf\u00fchren. Hierf\u00fcr muss ein Mitarbeitender Open WebUI mit einem von den Angreifenden kontrollierten Modell-Endpoint verbinden, beispielsweise unter dem Vorwand einer \u201ekostenlosen GPT-4-Alternative\u201c.<\/p>\n

Dieser Code stiehlt dann JSON Web Tokens (JWTs) aus dem Browser-Kontext und soll den Kriminellen so dauerhaften Zugriff auf den KI-Arbeitsbereich, Dokumente, Chats und eingebettete API-Schl\u00fcssel des Opfers erm\u00f6glichen.<\/p>\n

Der Fehler betrifft Open WebUI-Versionen bis einschlie\u00dflich 0.6.34 und wurde in Version 0.6.35 behoben. Unternehmen sollten daher ihre Produktionsumgebungen umgehend patchen.<\/p>\n

Krise statt Komfort<\/h2>\n

Laut den Cato-Forschenden liegt das Problem bei Direct Connections, einer Funktion, die es Usern erm\u00f6glicht, Open WebUI mit externen, OpenAI-kompatiblen Modell-Servern zu verbinden. Der SSE-Handler der Plattform vertraut eingehenden Events dieser Server, insbesondere solchen mit dem Tag \u201e{type: execute}\u201c. Deren Payload f\u00fchrt er dann \u00fcber einen dynamischen JavaScript-Konstruktor aus.<\/p>\n

Wenn sich ein User mit einem b\u00f6sartigen Server verbindet, was durch Social Engineering leicht m\u00f6glich ist, kann dieser Server eine SSE mit ausf\u00fchrbarem JavaScript senden. Dieses Skript hat vollen Zugriff auf den Speicher des Browsers, einschlie\u00dflich des JWT, welches zur Authentifizierung verwendeten wird.<\/p>\n

\u201eOpen WebUI speichert das JWT-Token im localStorage\u201c, so die Experten von Cato in einem Blogbeitrag. \u201eJedes auf der Seite ausgef\u00fchrte Skript kann darauf zugreifen. Tokens sind standardm\u00e4\u00dfig langlebig, haben kein HttpOnly-Attribut und sind Tab-\u00fcbergreifend. In Kombination mit dem Execute-Event bietet dies ein Zeitfenster f\u00fcr die Konto\u00fcbernahme.\u201c<\/p>\n

Laut einer Beschreibung der National Vulnerability Database (NVD) erfordert der Angriff jedoch, dass das Opfer Direct Connections aktiviert, die standardm\u00e4\u00dfig deaktiviert sind, und die sch\u00e4dliche Modell-URL des Angreifers hinzuf\u00fcgt.<\/p>\n

Eskalation bis hin zur Remote-Code-Ausf\u00fchrung<\/h2>\n

Das Risiko endet jedoch nicht mit der Konto\u00fcbernahme: Sollte das kompromittierte Konto \u00fcber Berechtigungen f\u00fcr Workspace Tools verf\u00fcgen, k\u00f6nnen Angreifende dieses Session-Token nutzen. Hiermit sind sie dann in der Lage, authentifizierten Python-Code \u00fcber die Tools-API von Open WebUI einzuschleusen, der ohne Sandboxing oder Validierung ausgef\u00fchrt wird.<\/p>\n

Damit wird laut den Experten ein kompromittierter Browser zu einer vollst\u00e4ndigen Remote Code-Execution auf dem Backend-Server. Sobald Angreifende Zugriff auf die Python-Ausf\u00fchrung erlangt haben, k\u00f6nnen sie<\/p>\n