python · open-webuiCrítico
open-webui: Correção de segurança para mensagens cross-origin em Chat.svelte
O listener de mensagens do chat em Chat.
O que mudou
O listener de mensagens do chat em Chat.svelte aceita mensagens `input:prompt` e `action:submit` de origens não confiáveis, permitindo injeção e envio de prompts cross-origin sem confirmação.
Quem isso afeta
Usuários autenticados do Open WebUI que visitam uma página maliciosa enquanto estão logados.
O que fazer hoje
Aplique a correção que impõe restrições de mesma origem nos eventos postMessage em Chat.svelte.
A esteira
Coletado→
Auditado→
Redigido→
Publicado