Open WebUI, sebuah antarmuka web sumber terbuka yang digunakan untuk berinteraksi dengan model bahasa AI lokal atau jarak jauh, dilaporkan memiliki kerentanan keamanan tingkat tinggi. Cacat ini memungkinkan pengambilalihan akun dan, dalam beberapa kasus, eksekusi kode jarak jauh (RCE).
Menurut pantauan Mureks, kerentanan ini pertama kali diungkapkan pada Oktober 2025 oleh Peneliti Keamanan Senior Cato CTRL, Vitaly Simonovich. Kini dilacak sebagai CVE-2025-64496, bug tersebut diberi skor keparahan 8.0/10 (tinggi) dan digambarkan sebagai celah injeksi kode pada fitur Direct Connection.
Selengkapnya dapat dibaca melalui Mureks di laman mureks.co.id.
Bagaimana Kerentanan Ini Bekerja?
Cacat keamanan ini memungkinkan aktor ancaman untuk menjalankan JavaScript arbitrer di peramban melalui peristiwa eksekusi Server-Sent Event (SSE). Dengan menyalahgunakan celah tersebut, penyerang dapat mencuri token dan sepenuhnya mengambil alih akun yang terkompromi.
Lebih lanjut, kerentanan ini dapat dirantai dengan Functions API, yang berpotensi menyebabkan eksekusi kode jarak jauh pada server backend. Namun, korban perlu terlebih dahulu mengaktifkan Direct Connections, yang secara default dinonaktifkan, dan menambahkan URL model berbahaya milik penyerang. Penambahan URL ini dapat dicapai relatif mudah melalui rekayasa sosial.
Versi Terdampak dan Rekomendasi Patch
Versi Open WebUI yang terdampak mencakup v.0.6.34 dan versi sebelumnya. Pengguna sangat disarankan untuk memperbarui ke versi 0.6.35 atau yang lebih baru. Cato CTRL menyatakan bahwa perbaikan pada versi terbaru menambahkan middleware untuk memblokir eksekusi SSE dari server Direct Connection.
Selain pembaruan, para peneliti juga menyarankan pengguna untuk memperlakukan koneksi ke server AI eksternal layaknya kode pihak ketiga. Oleh karena itu, batasi Direct Connections hanya pada layanan yang telah terverifikasi dengan baik.
Terakhir, pengguna juga harus membatasi izin workspace.tools hanya untuk pengguna esensial dan terus memantau setiap pembuatan alat yang mencurigakan. Cato menyimpulkan, “This is a typical trust boundary failure between untrusted model servers and a trusted browser context.”
