Open WebUI: ช่องโหว่ความร้ายแรงสูง CVE-2025-64496 ยอมให้ผู้ร้ายเข้ายึดบัญชีผู้ใช้ และอาจถึงขนาดยึดเครื่องได้

นิตยสารออนไลน์ Infosecurity Magazine รายงานข่าวว่า

นักวิจัยชื่อ Vitaly Simonovich ของ Cato CTRL Threat Research Group ค้นพบช่องโหว่ CVE-2025-64496 ในผลิตภัณฑ์

Open WebUI

มีระดับความรุนแรง “สูง” คะแนนความรุนแรง 7.3

ช่องโหว่อยู่ใน feature ชื่อ Direct Connections ที่ใช้ติดต่อกับ OpenAI-compatible Model Server ภายนอก

ผู้ร้ายสามารถสร้าง server ร้าย เพื่อเข้ามาติดต่อแล้วส่ง event message ที่สร้างขึ้นพิเศษ ทำให้ขโมย authentication token แล้วเข้ายึดบัญชีผู้ใช้ของเหยื่อได้

ในกรณีเลวร้ายที่บัญชีผู้ใช้เป็นของผู้ดูแลระบบ ผู้ร้ายก็จะยึดเครื่องได้

ช่องโหว่นี้แก้ไขแล้วใน Open WebUI 0.6.35

จึงแจ้งมาเพื่อทราบ,

ภาคผนวก:

อ่านประกาศของ Open WebUI ได้ที่:

https://github.com/open-webui/open-webui/security/advisories/GHSA-cm35-v4vp-5xvx

อ่านข่าวฉบับเต็มจาก Infosecurity Magazine ได้ที่:

https://www.infosecurity-magazine.com/news/flaw-open-webui-affects-ai

อ่านการวิเคราะห์ช่องโหว่ของ Cato Networks ได้ที่:

https://www.catonetworks.com/blog/cato-ctrl-vulnerability-discovered-open-webui-cve-2025-64496

อ่านข้อมูล CVE ได้ที่:

https://www.cve.org/CVERecord?id=CVE-2025-64496

และ

https://nvd.nist.gov/vuln/detail/CVE-2025-64496