<|User|>Member-only story CVE-2025-64495: 在Open WebUI中通过“以富文本插入提示词”功能从存储型DOM XSS到RCE的漏洞分析
Bash Overflow · 5分钟阅读 · 2025年11月13日 602 收听
当“富文本”提示词变成后门:深入剖析Open WebUI的CVE-2025-64495漏洞。 🔓免费链接
按Enter键或点击查看全尺寸图片
CVE-2025-64495: 在Open WebUI中通过“以富文本插入提示词”功能从存储型DOM XSS到RCE的漏洞分析
免责声明: 本文档中描述的技术仅旨在用于道德目的和教育用途。在未经批准的环境下未经授权使用这些方法是严格禁止的,因为这是非法、不道德的,并可能导致严重后果。 负责任地行事,遵守所有适用法律,并遵循既定的道德准则至关重要。任何利用安全漏洞或损害他人安全、隐私或完整性的活动都是严格禁止的。
目录
- 引言
- 漏洞概述
- 复现步骤与概念验证(PoC)
- 影响范围
引言 什么是Open WebUI? Open WebUI 是一个自托管的人工智能Web界面框架。它使用户能够在本地或企业内部运行语言模型,管理提示词、聊天会话和工作流程。其目标是赋予开发者完全的数据主权、支持离线使用,并... CSD0tFqvECLokhw9aBeRqq2lO5ENH41wGCguckSNg423V9dj4EnuLAK9oJtmhld88Fz6kxnweGlrq7ldUN0ydXrFC6wLIMc3cWZ5VeXeo4TuIWVUf98MyhvNp4M8S8YKiiN7ebjgajlE/Jp3XiSN48j+1hd4rp+zavjdIWfl9Ng=
