Open WebUI, platform antarmuka web sumber terbuka yang banyak digunakan untuk mengelola model bahasa AI, baru-baru ini ditemukan memiliki kerentanan keamanan serius. Bug tersebut dapat memungkinkan penyerang mengambil alih akun pengguna dan bahkan menjalankan kode berbahaya dari jarak jauh.
Kerentanan ini pertama kali diidentifikasi oleh peneliti keamanan Vitaly Simonovich dari Cato CTRL dan tercatat sebagai CVE-2025-64496 dengan skor risiko tinggi 8.0 dari 10. Masalah ini berakar pada celah injeksi kode yang terjadi pada fitur Direct Connection dalam Open WebUI.
Mekanisme Kerentanan dan Dampak Serangan
Bug ini memanfaatkan kemampuan Server-Sent Event (SSE) untuk mengeksekusi skrip JavaScript secara arbitrer dalam browser korban. Saat terjadi, kode jahat bisa mencuri token otentikasi dan membuka akses penuh ke akun target. Dengan akses tersebut, pelaku dapat mengendalikan sesi dan data pengguna yang tersimpan.
Kerentanan ini menjadi lebih berbahaya jika digabungkan dengan Functions API. Kombinasi ini memungkinkan penyerang menjalankan kode berbahaya di server backend, memperluas dampak ancaman dari sekadar pencurian akun menjadi eksekusi kode jarak jauh (RCE). Namun, agar serangan ini berhasil, pengguna harus mengaktifkan fitur Direct Connections terlebih dahulu. Fitur ini secara default dinonaktifkan, tetapi seringkali pengguna mengaktifkannya tanpa sadar melalui manipulasi sosialisasi, di mana pelaku mengelabui korban agar menambahkan URL berbahaya ke konfigurasi.
Versi Terdampak dan Solusi Perbaikan
Kerentanan ini ditemukan pada versi Open WebUI 0.6.34 ke bawah. Pengguna yang masih menjalankan versi tersebut sangat dianjurkan untuk melakukan pembaruan ke versi 0.6.35 atau lebih baru karena pihak pengembang telah menerapkan perbaikan penting. Pembaruan menambahkan middleware untuk menolak eksekusi SSE yang berasal dari server Direct Connection, sehingga membatasi jalur eksploitasi.
Selain memasang patch, para pakar keamanan menyarankan agar pengguna membatasi penggunaan Direct Connections hanya untuk layanan yang telah dipastikan keamanannya. Koneksi ke server eksternal sebaiknya dianggap sebagai potensi ancaman, layaknya menjalankan kode pihak ketiga yang tidak dapat sepenuhnya dipercaya.
Langkah Pencegahan yang Disarankan
- Segera perbarui Open WebUI ke versi terbaru (0.6.35 atau di atasnya).
- Nonaktifkan fitur Direct Connection jika tidak benar-benar diperlukan.
- Batasi Direct Connection pada server atau model AI yang sudah tervalidasi dan terpercaya.
- Kelola izin workspace.tools hanya pada pengguna yang memerlukan akses tersebut secara mutlak.
- Pantau secara ketat aktivitas pembuatan alat atau modifikasi yang mencurigakan di lingkungan kerja.
Penting untuk memahami bahwa kegagalan ini merupakan masalah kepercayaan antara server model yang tidak dapat dipercaya dan konteks browser yang dipercaya oleh pengguna. Oleh karena itu, menjaga integritas kedua komponen ini adalah kunci untuk menghindari eksploitasi serupa.
Open WebUI yang merupakan solusi populer dalam pengelolaan AI lokal maupun jarak jauh harus menjadi perhatian utama bagi para pengguna dan administrator. Ancaman yang berpotensi mencuri data dan mengambil alih akun dapat berdampak serius pada keamanan informasi serta kontinuitas operasional. Dengan mengikuti rekomendasi pembaruan dan pembatasan akses, risiko serangan dapat diminimalisir secara efektif.
