CVE-2026-0767
| CVE ID | CVE-2026-0767 |
| 厂商处理 | 已拒绝 — 不是漏洞 |
| 发布时间 | 2026-01-23 |
| 发布 CNA | Zero Day Initiative(ZDI-26-033) |
| 声称严重性 | 中(CVSS 6.5 — CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N) |
| CWE | CWE-319(敏感信息的明文传输) |
CVE 声称内容
如果应用程序通过纯 HTTP 而不是 HTTPS 部署,则用户凭证(电子邮件和密码)提交到 Open WebUI 的登录端点将以明文传输,允许网络相邻的攻击者拦截它们。
为什么这不是漏洞
这描述了 HTTP 协议的属性,而不是 Open WebUI 的缺陷。未加密的 HTTP 请求,根据定义,不被加密 — 这适用于曾经构建的每个 Web 应用程序。
Open WebUI 是一个暴露 HTTP 接口的后端应用程序。该接口是直接暴露、在 TLS 终止反向代理后、在负载均衡器后还是通过托管平台,是操作员的部署决定。应用程序不期望强制传输层配置,也不应该。描述在功能上等同于陈述"如果操作员部署没有 HTTPS 的 Apache HTTPD,登录凭证以明文发送" — 一个真实的陈述,不构成 Apache 中的漏洞。
CVSS 准确性
CVSS 向量本身承认了非实用性:AV:A(邻接网络)和 AC:H(高攻击复杂性)反映该情景需要未加密部署和一个网络相邻攻击者位置来拦截流量。在任何常规生产部署后的 TLS 终止,情景不出现。
适用的安全政策规则
- 规则 1: 预期协议行为不是漏洞。HTTP 的明文属性是教科书示例。
- 规则 6: 情景仅在操作员部署没有 TLS 时显现 — 不是 Open WebUI 默认配置的属性。
- 规则 7: 报告将部署层属性误认为应用层缺陷。
对用户的影响
无需行动,假设您的部署使用 TLS。如果您在生产中通过纯 HTTP 运行 Open WebUI,通过反向代理配置 TLS 终止 — 任何 Web 应用程序的标准部署卫生,而不是对本 CVE 的响应。参见我们的HTTPS 和反向代理配置指南。