Open WebUI - это самопровозглашенная платформа искусственного интеллекта, предназначенная для работы полностью в автономном режиме. До 0.9.…
Open WebUI - это самопровозглашенная платформа искусственного интеллекта, предназначенная для работы полностью в автономном режиме. До 0.9.5 POST /api/v1/evaluations/feedback endpoint in Open WebUI v0.9.2 уязвима для массового назначения через FeedbackForm, которая использует model_config = ConfigDict(extra='allow'). Из-за небезопасного порядка слияния словаря в list_new_feedback(), аутентифицированный злоумышленник может ввести поле user_id в орган запроса, который перезаписывает значение, полученное от сервера, создавая записи обратной связи, приписываемые любому произвольному пользователю. Это испортит таблицу лидеров оценки моделей (рейтинги Elo) и позволяет спуфировать идентичность. Эта уязвимость фиксируется в 0.9.5.
Продукт получает от вышестоящего компонента входные данные, задающие несколько атрибутов, свойств или полей, которые должны быть инициализированы или обновлены в объекте, однако не обеспечивает надлежащего контроля над тем, какие атрибуты могут быть изменены.
https://cwe.mitre.org/data/definitions/915.html →Открыть в коллекции CWE →