跳到主要内容

服务商处理声明

针对外部上报的 CVE 漏洞及安全指控,Open WebUI 给出的官方技术评估与正式处理结论。

每当有针对 Open WebUI 发起的 CVE 漏洞报告时,我们都会严密对照我们的 官方安全策略、记录在案的系统 威胁模型 以及软件的实际运行行为,对该报告展开详尽的技术审查。如果判定某份漏洞报告与技术事实不符、被过度夸大歪曲,或根本不符合系统合理的威胁防护边界,我们便会在此处签发并挂网服务商官方的处理声明(Vendor Dispositions),以客观阐明我们的技术评估推导过程。

什么是服务商处理声明?

服务商处理声明(Vendor Disposition)是指软件开发商针对某项 CVE 编号或外部漏洞提报,向全球作出的官方、公开的正式回应与结论。这是国际协调漏洞披露(Coordinated Vulnerability Disclosure)流程中不可或缺的标配环节,主要起到以下核心作用:

  • 极致透明度 —— 保证全球的系统管理员和部署用户能够直观看到我们对漏洞指控的技术判定标准,以及我们得出最终结论的推演逻辑。
  • 正本清源 —— 外部 CVE 漏洞库有时会收录一些漏洞评级严重失实、严重误读系统威胁模型,或者直接将系统核心设计功能污蔑为“安全漏洞”的劣质报告。服务商处理声明旨在纠正公众视听,维护事实权威。
  • 最佳实践指导 —— 每份处理声明都附带有详实的技术背景信息,以便系统管理员精准判定该外部指控与他们自身特定的生产部署架构是否相关。

系统的威胁模型

Open WebUI 被定位为一款**自托管、强身份验证、基于角色权限控制(RBAC)**的应用软件。它支持直接在公网上发布,但前提是必须实施合规的网络层安全加固(配置 TLS 证书卸载、部署反向代理以及设定相匹配的访问限制)。我们的系统威胁模型基于以下核心技术假设:

  • 所有用户在试图调用任何系统业务功能之前,必须已经通过了身份验证
  • **Administrators(系统管理员)**是完全可信的特权主体,在系统底层拥有无可置疑的最高掌控权。
  • 安全防线以默认参数或更安全参数运行 —— 威胁模型不把系统管理员“手动故意把安全防御关掉”的场景作为安全防守面。任何被判定有效的漏洞报告,必须能够在系统开箱即用的默认配置或更严苛配置下复现。
  • **Tools(工具)、Functions(函数)与 Pipelines(管道)**在设计之初就是为了在服务器端编译并执行自定义代码 —— 这属于系统的核心高阶特性,绝对不是安全漏洞。管理员需自行承担将该上传特权分发给不可信账户时的安全后果。

任何无视上述核心架构假设的报告 —— 例如指控一个必须依赖管理员特权账号、故意关闭防御参数或在完全违规部署的网络拓扑下才能触发的“漏洞” —— 将一概被我们驳回并提起官方争议申诉。

如需获取全景式技术认知,请仔细参阅 官方安全策略说明

所有声明记录清单

关联 CVE 编号涉事漏洞指控标题官方处理结论正式挂网日期
CVE-2025-15603start_windows.bat 批处理中采用的随机值随机性强度不足已驳回 (Rejected)2026-03-09
CVE-2026-0765PIP install_frontmatter_requirements 命令行注入风险已驳回 (Rejected)2026-01-23
CVE-2026-0766load_tool_module_by_id 核心函数任意代码注入风险已驳回 (Rejected)2026-01-23
CVE-2026-0767纯明文 HTTP 传输环境下登录凭证被嗅探风险已驳回 (Rejected)2026-01-23
CVE-2025-63391/api/config 接口未授权访问敏感配置风险已驳回 (Rejected)2025-12-18
CVE-2024-7040篡改 user_id 参数读取其他管理员聊天记录越权风险已驳回 (Rejected)2025-10-15
CVE-2025-29446verify_connection 连通性测试接口引发的 SSRF 风险已驳回 (Rejected)2025-04-21
This content is for informational purposes only and does not constitute a warranty, guarantee, or contractual commitment. Open WebUI is provided "as is." See your license for applicable terms.