Open WebUI の深刻な脆弱性 CVE-N/A:悪意の SVG 処理を介した 1-Click RCE

Open WebUI File Upload Vulnerability Enables 1-Click RCE Attack

2026/05/12 gbhackers — Open WebUI の深刻な脆弱性 CVE-N/A を悪用する攻撃者が、単純なプロフィール画像をアップロードすることで、完全なシステム侵害への足がかりを得るという脅威が現実化している。セキュリティ研究者が公開したのは、1 クリックでリモートコード実行 (RCE) とアカウント完全乗っ取りを可能にする、深刻な蓄積型 Cross-Site Scripting (XSS) の欠陥である。

この脆弱性は、バックエンドのルーティング・アーキテクチャにおける、Open WebUI のプロフィール画像のアップロード機能に存在する。

セキュリティ研究者 Metin Yunus Kandemir が発見したのは、base64 エンコードされたプロフィール画像をアプリケーションが処理する際に、メディアタイプに対する適切な検証が行われていないことだ。

攻撃者は “data:image/svg+xml;base64” 構文を用いて、悪意の JavaScript コードをアップロードできる。このアップロードをサーバが処理する際、画像データがデコードされ、その後にストリーミング・レスポンスとしてブラウザへ返される。

このシステムは、JPEG や PNG などの安全なフォーマットの許可リストを持たず、埋め込みスクリプトを含む SVG (Scalable Vector Graphics) ファイルを無条件に処理する。

さらに、ファイルをダウンロードさせるのではなく、インライン描画するため、ブラウザは埋め込まれたコードを即座に実行する。

Open WebUI のファイル・アップロードの脆弱性

この脆弱性の悪用は最小限のユーザー操作で成立するため、エンタープライズ環境に大きなリスクをもたらす。この欠陥を突く攻撃者は、reverse shell を含む base64 ペイロードを作成し、通常のプロフィール画像としてアップロードする。

研究者によると、被害者が生成された悪意の画像リンクを開くと、JavaScript コードがユーザー・コンテキスト内で実行される。悪意のプロフィール画像へのリダイレクト・リンクを含む、標的型メールの送信により、この攻撃は開始される。

被害者が、管理者の権限または “workspace.tools” 権限を持つ場合には、悪意のスクリプトがバックグラウンドで API と連携し、新規のツールを作成する。このツールには、 reverse shell コードが注入されているため完全なリモートコード実行が発生する。

標準ユーザーがクリックした場合であっても、影響は深刻である。悪意のペイロードは local storage トークンやチャットログを取得し、攻撃者が制御する外部サーバへ送信することでアカウント乗っ取りを実現する。

この脆弱性の開示プロセスにおいて、研究者は 2026年3月に非公開で報告した。しかし 2 か月後に Open WebUI の開発者は、未公開の公式アドバイザリと重複するものとし、研究者からの報告をクローズし、正式なクレジット付与を拒否した。

この対応が、責任ある開示ポリシーに反すると判断した研究者は、コミュニティへの警告として、今回の詳細な技術情報を公開した。

この脆弱性は、バージョン 0.7.2 において未修正である。重要な対策として挙げられるのは、Open WebUI インスタンスへと誘導する、外部からのリンクをクリックしないことだ。

システム管理者は、手動により users.py のコードを修正し、media_type 変数を安全なフォーマットの許可リストに限定することで緩和が可能である。

この脆弱性を悪用する攻撃は、悪意のスクリプトにより、複数の API エンドポイントを標的とする侵害を達成する。

Target EndpointAttack Function
/api/v1/tools/createRemote Code Execution payload delivery
/api/v1/chats/allChat history extraction for account takeover
/api/v1/users/searchTarget identification and enumeration
/api/v1/users/[user_id]/profile/imageMalicious SVG payload execution

訳者後書:Open WebUI で発見された、画像アップロード機能を悪用した深刻な脆弱性 CVE-N/A について解説する記事です。問題の原因は、プロフィール画像の受け入れ時にファイル形式の厳格なチェックが行われておらず、プログラムを埋め込める SVG 形式のファイルを許可していたことにあります。攻撃者が作成した、悪意ある画像リンクをユーザーがクリックするとブラウザ上で JavaScript が実行され、アカウントの乗っ取りやリモートコード実行を招く恐れがあります。 特に、管理権限を持つユーザーが被害に遭うと、システム全体が完全に侵害されるリスクがあります。修正が完了するまでは、外部からの不審なリンクを避けるとともに、許可するメディア・タイプを制限するなどの手動対策が不可欠です。