CVE-2025-63391
| CVE ID | CVE-2025-63391 |
| 厂商处理 | 已拒绝 — 特征错误 |
| 发布时间 | 2025-12-18 |
| 发布 CNA | MITRE(CISA-ADP) |
| 声称严重性 | 高(CVSS 7.5 — CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) |
| CWE | CWE-306(关键函数身份验证缺失) |
CVE 声称内容
Open WebUI ≤0.6.32 中的 /api/config 端点声称缺乏适当的身份验证和授权控制,向未认证的远程攻击者公开敏感的系统配置数据。
为什么这不是漏洞
/api/config 端点是设计上可被未认证调用者访问的。它为 Open WebUI 的前端提供在用户被认证之前所需的少量公开信息 — 即应用程序名称、区域设置、版本、已启用 OAuth 提供商名称列表(不含秘密)以及功能标志,如 enable_signup 和 enable_ldap,登录 UI 必须读取以正确渲染。这类似于许多 Web 应用程序暴露的 /.well-known/ 发现文档或 /api/v1/info 端点,用于客户端启动。
敏感字段被适当地门禁
端点在其响应处理器中包含显式角色门禁分支。敏感字段 — 包括但不仅限于 OAuth 客户端标识符和秘密、Google Drive 凭证、OneDrive 凭证、SharePoint 配置、默认模型标识符、固定模型和用户计数 — 仅在请求携带对管理员或用户角色的有效认证会话时返回。代码中的相关条件是 if user is not None and (user.role in ['admin', 'user'])。敏感字段不在任何代码路径中向未认证的调用者返回。
CWE-306 被错误应用
CWE-306("关键函数身份验证缺失")特征化在两个方面是不正确的:
- 端点不是"关键函数"。它是公开发现端点,返回客户端启动信息。
- 端点不"缺失"身份验证。它为启动数据刻意未认证,带有敏感字段通过角色检查适当地门禁在认证后。
适用的安全政策规则
披露途径
在发布前,没有与此 CVE 相对应的报告通过项目的官方报告渠道(GitHub Security Advisories)提交。
对用户的影响
无需行动。 /api/config 端点仅向未认证的调用者返回公开的启动信息。敏感的配置字段被认证门禁,不被公开。