CVE-2025-29446
| CVE ID | CVE-2025-29446 |
| 厂商处理 | 已拒绝 — 不是漏洞 |
| 发布时间 | 2025-04-21 |
| 发布 CNA | MITRE |
| 声称严重性 | 低(CVSS 3.3 — CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N) |
| CWE | CWE-918(服务器端请求伪造) |
CVE 声称内容
backend/open_webui/routers/ollama.py 中的 verify_connection 函数使用调用者提供的 URL 字符串执行出站 HTTP 请求,没有充分的 URL 验证,允许 URL 参数指向内部服务(SSRF)。报告的概念验证发送 POST /ollama/verify,主体如 {"url":"http://attacker/?id=1' or 1=1 -- #","key":""},其中尾随 # 截断追加的 /api/version 路径,导致服务器向攻击者供应的 URL 发出任意 GET 请求。
为什么这不是漏洞
端点 POST /ollama/verify 由 Depends(get_admin_user) 身份验证依赖进行门禁。仅管理员可到达。其唯一目的是允许管理员验证一个 Ollama 模型服务器 URL — 管理员刚刚配置的 — 正确响应。
"攻击者"是管理员
引用情景中的"攻击者"是进入他们自己拥有的设置字段的管理员。管理员当然可以将 URL 指向内部服务 — 这是配置模型服务器 URL 的整个目的 — 但这样做不构成跨越特权边界。没有渠道允许非特权用户到达此端点。
相同的模式(管理员认证的出站 URL 探测,以验证配置的集成端点)出现在其他模型提供商集成的可比路由器文件中。这些都不可被非特权用户到达。
适用的安全政策规则
- 规则 9: "需要管理员主动执行不安全操作的漏洞不被认为是有效漏洞。管理员拥有完整系统控制权,应理解其操作和配置的安全含义。"
披露途径
在发布前,没有与此 CVE 相对应的报告通过项目的官方报告渠道(GitHub Security Advisories)提交。
对用户的影响
无需行动。 引用的端点仅可被管理员访问,并为验证管理员配置的模型服务器 URL 提供其预期目的。