从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 受影响的软件: - 受影响的软件:Open WebUI - 受影响的版本:0.1.105 2. 漏洞描述: - 漏洞类型:Open WebUI Stored Cross-Site Scripting - 漏洞描述:攻击者可以构造一个恶意提示,迫使语言模型在网页上下文中执行任意JavaScript。 3. 技术描述: - 响应处理:响应从API获取并显示给用户,通过将响应插入到网页中。 - 问题描述:在markdown中插入的特殊字符未被编码,导致在渲染时出现问题。 4. 缓解措施: - 建议:由于没有来自供应商的响应,维护者在2024年5月2日关闭了GitHub安全报告。截至发布时,该问题似乎已被无声修复。 5. 发现者: - 发现者:由Jaggar Henry和Sean Segreti发现。 6. 披露时间线: - 时间线:从2024年3月5日到2024年8月7日,KoreLogic与Open WebUI进行了沟通,并提交了漏洞细节,但未收到回复。 7. 漏洞利用: - 利用步骤:通过点击“New Chat”、选择语言模型并输入特定的提示,可以触发漏洞。 8. 版权和免责声明: - 版权:内容受2024年KoreLogic, Inc.的版权保护。 - 免责声明:内容受Creative Commons Attribution Share-Alike 4.0 (United States) License的许可。 这些信息提供了关于Open WebUI Stored Cross-Site Scripting漏洞的详细描述,包括受影响的软件、漏洞利用方法和缓解措施。