以下のウェブサイトスクリーンショットから、脆弱性に関する以下の重要情報を取得できます: 1. 影響を受けるソフトウェア: - 影響を受けるソフトウェア:Open WebUI - 影響を受けるバージョン:0.1.105 2. 脆弱性の説明: - 脆弱性の種類:Open WebUI 格納型クロスサイトスクリプティング(Stored Cross-Site Scripting) - 脆弱性の説明:攻撃者は悪意のあるプロンプトを構成し、言語モデルに任意のJavaScriptをウェブページのコンテキストで実行させることができます。 3. 技術的な説明: - レスポンス処理:レスポンスはAPIから取得され、ウェブページに挿入することでユーザーに表示されます。 - 問題の説明:Markdown内で挿入された特殊文字がエンコードされていないため、レンダリング時に問題が発生します。 4. 緩和策: - 推奨事項:ベンダーからの回答がないため、保守者は2024年5月2日にGitHubセキュリティレポートをクローズしました。公開時点で、この問題は黙示的に修正されているようです。 5. 発見者: - 発見者:Jaggar Henry と Sean Segreti によって発見されました。 6. 公開タイムライン: - タイムライン:2024年3月5日から2024年8月7日にかけて、KoreLogicはOpen WebUIと連絡を取り合い、脆弱性の詳細を提出しましたが、返信は得られませんでした。 7. 脆弱性の悪用: - 悪用の手順:「New Chat」をクリックし、言語モデルを選択して特定のプロンプトを入力することで、脆弱性をトリガーできます。 8. 著作権と免責事項: - 著作権:コンテンツは2024年KoreLogic, Inc.の著作権で保護されています。 - 免責事項:コンテンツはCreative Commons Attribution Share-Alike 4.0 (United States) Licenseの下でライセンスされています。 これらの情報は、影響を受けるソフトウェア、脆弱性の悪用方法、および緩和策を含み、Open WebUI 格納型クロスサイトスクリプティング脆弱性について詳細な説明を提供しています。