系统:运行中
← 返回所有攻击
DATA LEAK MEDIUM NEW

Open WebUI 的 RAG 抓取:一次重定向即可触及云元数据凭证

2026 年 6 月底的一则公告显示,Open WebUI 的网页检索端点只校验了首个 URL,攻击者控制的重定向可将服务端请求引向云元数据。已在 0.6.27 修复。

2026-07-15 // 5 min affects: open-webui, open-webui-<0.6.27, self-hosted-llm-stacks

这是什么?

2026 年 6 月 30 日,为 Open WebUI 发布了一则安全公告。Open WebUI 是部署最广泛的自托管大语言模型前端之一,既可驱动本地模型,也可对接 API 模型。该问题是网页检索功能中的一个服务端请求伪造(SSRF)缺陷:负责抓取用户提供的 URL 以喂入检索增强生成(RAG)流水线的端点,其安全过滤只作用于调用方输入的 URL,而不作用于该 URL 的重定向目标。因此,一名已认证用户可以让服务器指向自己控制的页面,让该页面返回一个指向内部地址的 HTTP 重定向,再让 Open WebUI 顺着这个重定向直达云元数据端点。该缺陷归类为 CWE-918(SSRF),影响 0.6.27 之前的所有版本,并已在该版本修复。

这既不是提示词层面的攻击,也不是模型越狱。它是一个寄居在 LLM 工具中的经典 Web 应用 SSRF——每当一个聊天前端被赋予代表用户抓取任意 URL 的能力时,这类攻击面就会随之扩大。

工作原理

Open WebUI 的检索端点接收一个 URL,在服务端抓取该页面,并将文本交给 RAG 流水线。为阻止该请求触及内部系统,代码对所请求的主机执行了一次阻断过滤。缺陷在于:这次校验只进行一次,针对调用方的原始 URL;此后底层 HTTP 客户端便被允许跟随重定向,而不再做二次校验。

持有已认证会话的攻击者提交一个指向自己所运营服务器的 URL。该服务器返回一个 3xx 重定向,其 Location 头指向一个内部或链路本地目标——例如位于 169.254.169.254 的实例元数据服务,或 GCP、Azure、阿里云上的等价主机。由于过滤逻辑只校验了第一跳,且元数据地址不在默认阻断列表中,客户端便会发出第二次请求,并把响应体返回给调用方。在未对元数据访问做加固的云主机上,该响应体可能包含实例的 IAM 凭证,从而把一个只读的抓取功能变成通往云端机密的路径。已报告的影响仅限于信息泄露(机密性),攻击向量为网络,但需要权限前提——攻击者需要一个能调用检索端点的有效账户。我们刻意不在此发布可直接使用的重定向器配置:关键在于机制,而非载荷。

为何重要

对于希望在 Ollama 或托管 API 之上拥有私有聊天界面的团队而言,Open WebUI 是默认之选,而其中大量实例运行在云虚拟机上。尽管其严重性评分为中等,仍有两点值得关注。其一,收益是凭证窃取:成功重定向到未受保护的元数据服务可交出实例角色凭证,这个立足点远比抓取本身更有价值。其二,前提条件——一名能触及检索功能的已认证用户——在众多允许自助注册或共用同一低信任租户的部署中,比听上去要弱得多。同一生态中相邻的 SSRF 触及元数据模式,从拉取云元数据的推理服务器图像加载器触及实例元数据服务的 MCP 服务器,都指向同一个教训:任何被允许发起出站请求的 LLM 组件,都会继承所有寻常的 SSRF 风险,而互联网上充斥着暴露在外的自托管 LLM 前端,它们本没料到自己会被访问到。

防御

将 Open WebUI 升级到 0.6.27 或更高版本。这是主要修复:补丁新增了覆盖链路本地地址和云元数据地址的默认阻断列表,并在允许客户端跟随之前先把重定向目标解析为 IP,从而对恶意的 Location 头重新校验,而非盲目信任。

除打补丁外,还应加固前端所运行的环境。在 AWS 上,强制使用跳数限制为一的 IMDSv2,使基本的 SSRF 无法读取实例凭证;其他主流云也提供等价的元数据加固控制。限制 Open WebUI 工作负载的出站流量,使其无论请求如何构造,都无法触及 169.254.169.254、其他链路本地网段或内部管理网络,最好通过一个阻断私有和链路本地目标的出站代理来实现。若无法立即升级,修复版本暴露了一个 WEB_FETCH_FILTER_LIST 控制项,可用于拒绝元数据主机名和 RFC 1918 网段;也可在反向代理层面对不受信任的用户层级限制或禁用检索端点。最后,轮换任何可能在打补丁前已暴露的实例凭证,并把已认证访问视为一种特权:任何人都能完成的注册,会把”需要账户”的缺陷变成开放的缺陷。

在检测方面,对 Open WebUI 进程指向链路本地或元数据地址的出站连接告警,并将检索端点请求与其后的出站目标关联——抓取外部 URL 后紧接着出现元数据响应,正是需要留意的特征。云审计日志会显示在可疑检索调用后不久出现实例角色凭证的使用。

状态

项目详情
受影响Open WebUI,0.6.27 之前的所有版本
组件网页检索端点 /api/v1/retrieval/process/web(RAG)
修复版本Open WebUI 0.6.27(提交 02238d3)
弱点CWE-918,通过重定向 Location 头实现的 SSRF
影响信息泄露——机密性;网络向量,需低权限
严重性CVSS 4.0 5.3(中等);站点评级:medium
参考CVE-2026-56399(发布于 2026-06-30);公告 GHSA-82r6-c5jm-f3mw

Sources