北京赛克艾威科技有限公司 2025-03-20
Open WebUI是一个可扩展可独立部署的AI平台,其旧版本/audio/api/v1/transcriptions接口存在一个任意文件上传漏洞,已获得登录权限的攻击者可利用该漏洞向系统内的任意位置写入文件,如系统程序、配置文件等,有可能导致服务器失陷。
升级至最新版本。
https://huntr.com/bounties/a3b1a4b7-c723-496d-842c-844cc0988fe9
https://avd.aliyun.com/detail?id=AVD-2024-8060
