python · open-webuiCrítico
Open WebUI: XSS via Mermaid no painel de pré-visualização de Markdown
O Open WebUI renderiza blocos Mermaid de arquivos Markdown no painel de pré-visualização com securityLevel definido como 'loose', permitindo XSS armazenado via
O que mudou
O Open WebUI renderiza blocos Mermaid de arquivos Markdown no painel de pré-visualização com securityLevel definido como 'loose', permitindo XSS armazenado via conteúdo Mermaid malicioso.
Quem isso afeta
Usuários que abrem arquivos Markdown maliciosos no painel de pré-visualização; todas as versões, incluindo main e v0.8.12.
O que fazer hoje
Atualize para uma versão corrigida ou aplique a remediação definindo o securityLevel do Mermaid como 'strict'.
A esteira
Coletado→
Auditado→
Redigido→
Publicado