供应商处置
Open WebUI 对外部报告的 CVE 和安全声明的正式评估。
当针对 Open WebUI 提交 CVE 时,我们会根据我们的 安全策略、我们记录的 威胁模型 和软件的实际行为来评估报告。如果报告不准确、误导性或不代表真正的漏洞,我们会在此发布供应商处置以解释我们的评估。
什么是供应商处置?
供应商处置是软件供应商对 CVE 或漏洞报告的官方公开回应。它是协调漏洞披露流程的标准部分,具有多个目的:
- 透明度 — 用户和管理员可以看到我们如何评估声明以及为什么得出结论。
- 准确性 — CVE 数据库有时包含误解威胁模型的报告、描述预期行为为漏洞或误解严重程度的报告。处置可纠正公开记录。
- 指导 — 每份处置都包含背景信息,帮助管理员评估报告的问题是否与其特定部署相关。
威胁模型
Open WebUI 是一个自托管、需身份验证、基于角色的应用。虽然可以公开部署,但需要适当的配置(TLS 终止、反向代理、适当的访问控制)。我们的威胁模型假设:
- 所有用户在访问任何功能前都进行身份验证。
- 管理员是可信的行为者,拥有完整的系统控制权。
- 安全设置处于默认值或更严格的配置下 — 威胁模型不假设故意削弱安全设置。有效的漏洞报告必须在默认或更严格的配置下可复现。
- 工具、函数和管道按设计执行任意代码 — 这是一个功能,不是漏洞。管理员控制谁可以安装和使用它们。
忽略这些架构假设的报告 — 例如,声称需要管理员级别访问、故意削弱设置或配置错误部署的漏洞 — 可能会被争议。
如�需完整概述,请参阅 安全策略。
所有处置
| CVE | 标题 | 处置 | 发布日期 |
|---|---|---|---|
| CVE-2025-15603 | start_windows.bat 中的随机值不足 | 拒绝 | 2026-03-09 |
| CVE-2026-0765 | PIP install_frontmatter_requirements 命令注入 | 拒绝 | 2026-01-23 |
| CVE-2026-0766 | load_tool_module_by_id 代码注入 | 拒绝 | 2026-01-23 |
| CVE-2026-0767 | 明文传输凭据 | 拒绝 | 2026-01-23 |
| CVE-2025-63391 | /api/config 中的身份验证绕过 | 拒绝 | 2025-12-18 |
| CVE-2024-7040 | 通过 user_id ��参数的跨管理员聊天访问 | 拒绝 | 2025-10-15 |
| CVE-2025-29446 | verify_connection 中的 SSRF | 拒绝 | 2025-04-21 |