• 漏洞编号：暂无
• 漏洞等级：严重
• 漏洞标签：POC已公开
• 发布时间：2025-04-28

漏洞描述

browser\-use WebUI是基于browser\-use的AI Agent应用。2025年4月，互联网上披露其旧版接口update\_ui\_from\_config存在一个pickle反序列化漏洞，未经授权的远程攻击者可以利用该接口发送恶意的序列化数据，实现在服务端执行任意代码，导致服务器失陷。

修复建议

升级至最新版本。

参考链接

https://github.com/browser-use/web-ui/commit/7fdf95edaeaf2505b36c10966b7b8d65359f1de6

https://research.kudelskisecurity.com/2025/04/23/getting-rce-on-browser-use-web-ui-ai-agent-instances/

https://avd.aliyun.com/detail?id=AVD-2025-1793687