RAG de Open WebUI: una redirección que alcanza las credenciales del cloud
Un aviso de finales de junio de 2026 muestra que el endpoint de recuperación web de Open WebUI solo validaba la primera URL: una redirección controlada por el atacante podía dirigir la petición del servidor a los metadatos del cloud. Corregido en 0.6.27.
¿De qué se trata?
El 30 de junio de 2026 se publicó un aviso de seguridad para Open WebUI, una de las interfaces autoalojadas más extendidas para operar modelos de lenguaje locales o accesibles vía API. El problema es una vulnerabilidad de tipo SSRF (falsificación de petición del lado del servidor) en la función de recuperación web: el endpoint que obtiene una URL proporcionada por el usuario para alimentar un pipeline de RAG aplicaba su filtro de seguridad únicamente a la URL escrita por quien la solicita, y no a su destino de redirección. Un usuario autenticado podía así apuntar el servidor a una página que él controla, hacer que respondiera con una redirección HTTP hacia una dirección interna, y dejar que Open WebUI siguiera esa redirección hasta un endpoint de metadatos del cloud. La vulnerabilidad se clasifica como CWE-918 (SSRF) y afecta a todas las versiones anteriores a la 0.6.27, donde está corregida.
No es un ataque a nivel de prompt ni un jailbreak del modelo. Es un SSRF de aplicación clásico alojado dentro de una herramienta LLM: exactamente el tipo de superficie que crece cada vez que una interfaz de chat recibe la capacidad de obtener URL arbitrarias en nombre de un usuario.
Cómo funciona
El endpoint de recuperación de Open WebUI acepta una URL, obtiene la página del lado del servidor y entrega el texto al pipeline RAG. Para impedir que esa petición alcanzara sistemas internos, el código ejecutaba un filtro de bloqueo sobre el host solicitado. El fallo: la comprobación se hacía una sola vez, sobre la URL original de quien llamaba, y después se permitía que el cliente HTTP subyacente siguiera las redirecciones sin una nueva validación.
Un atacante con una sesión autenticada envía una URL hacia un servidor que él opera. Ese servidor responde con una redirección 3xx cuya cabecera Location apunta a un objetivo interno o de enlace local: por ejemplo el servicio de metadatos de instancia en 169.254.169.254, o el host equivalente en GCP, Azure o Alibaba Cloud. Como la lógica de filtrado solo validaba el primer salto y las direcciones de metadatos no figuraban en la lista de bloqueo por defecto, el cliente emitía la segunda petición y devolvía el cuerpo de la respuesta a quien la solicitó. En un host cloud cuyo acceso a los metadatos no está reforzado, ese cuerpo puede contener las credenciales IAM de la instancia, convirtiendo una función de recuperación de solo lectura en una vía hacia los secretos del cloud. El impacto reportado se limita a la divulgación de información (confidencialidad), con un vector de red pero un requisito de privilegio: el atacante necesita una cuenta válida capaz de llamar al endpoint de recuperación. No publicamos deliberadamente una configuración de redirector lista para usar: la lección es el mecanismo, no un payload.
Por qué importa
Open WebUI es una opción por defecto para los equipos que quieren una interfaz de chat privada sobre Ollama o una API alojada, y un gran número de esas instancias corre en máquinas virtuales en el cloud. Dos hechos hacen que la vulnerabilidad merezca atención pese a su puntuación de gravedad moderada. Primero, el premio es un robo de credenciales: una redirección exitosa hacia un servicio de metadatos desprotegido puede entregar las credenciales del rol de instancia, un punto de apoyo mucho más valioso que la propia recuperación. Segundo, el requisito previo —un usuario autenticado capaz de alcanzar la función de recuperación— es más débil de lo que parece en los numerosos despliegues que permiten el autorregistro o comparten un mismo inquilino de baja confianza. Patrones vecinos de SSRF hacia los metadatos en el mismo ecosistema, desde un cargador de imágenes de servidor de inferencia que extraía los metadatos del cloud hasta servidores MCP que alcanzan el servicio de metadatos de instancia, señalan la misma lección: todo componente LLM autorizado a emitir peticiones salientes hereda todos los riesgos SSRF habituales, e internet está lleno de front-ends LLM autoalojados expuestos que no esperaban ser alcanzables.
Defensas
Actualice Open WebUI a la versión 0.6.27 o posterior. Este es el arreglo principal: el parche añade una lista de bloqueo por defecto que cubre las direcciones de enlace local y de metadatos del cloud, y resuelve los destinos de redirección a su IP antes de permitir que el cliente los siga, de modo que una cabecera Location hostil se vuelve a comprobar en lugar de seguirse por confianza.
Más allá del parche, refuerce el entorno donde corre la interfaz. En AWS, exija IMDSv2 con un límite de salto de uno para que un SSRF básico no pueda leer las credenciales de instancia; los demás grandes clouds ofrecen controles equivalentes de reforzamiento de metadatos. Restrinja el tráfico saliente de la carga de Open WebUI para que no pueda alcanzar 169.254.169.254, otros rangos de enlace local ni redes internas de administración, con independencia de cómo se moldee la petición, idealmente mediante un proxy saliente que bloquee los destinos privados y de enlace local. Cuando la actualización no sea inmediata, la versión corregida expone un control WEB_FETCH_FILTER_LIST que puede configurar para denegar nombres de host de metadatos y rangos RFC 1918, y puede limitar o desactivar el endpoint de recuperación para los niveles de usuario no confiables en el reverse proxy. Por último, rote cualquier credencial de instancia que pudiera haber quedado expuesta antes del parche, y trate el acceso autenticado como un privilegio: un registro abierto a cualquiera convierte un fallo de «requiere cuenta» en uno abierto.
Para la detección, alerte sobre conexiones salientes del proceso de Open WebUI hacia direcciones de enlace local o de metadatos, y correlacione las peticiones al endpoint de recuperación con los destinos salientes que las siguen: una recuperación hacia una URL externa seguida de inmediato por una respuesta de metadatos es la firma a vigilar. Los registros de auditoría del cloud mostrarán el uso de credenciales del rol de instancia poco después de una llamada de recuperación sospechosa.
Estado
| Elemento | Detalle |
|---|---|
| Afectado | Open WebUI, todas las versiones anteriores a 0.6.27 |
| Componente | endpoint de recuperación web /api/v1/retrieval/process/web (RAG) |
| Corregido en | Open WebUI 0.6.27 (commit 02238d3) |
| Debilidad | CWE-918, SSRF mediante la cabecera Location de redirección |
| Impacto | Divulgación de información — confidencialidad; vector de red, pocos privilegios requeridos |
| Gravedad | CVSS 4.0 5.3 (media); calificación del sitio: medium |
| Referencia | CVE-2026-56399 (publicado el 2026-06-30); aviso GHSA-82r6-c5jm-f3mw |
Sources
- → https://nvd.nist.gov/vuln/detail/CVE-2026-56399
- → https://github.com/open-webui/open-webui/security/advisories/GHSA-82r6-c5jm-f3mw
- → https://www.vulncheck.com/advisories/open-webui-server-side-request-forgery-via-location-redirect-in-api-v1-retrieval-process-web
- → https://github.com/open-webui/open-webui/commit/02238d3113e966c353fce18f1b65117380896774