From 7964a413c1b1a2f43d3cfa3fd3e6064b31d7b4f8 Mon Sep 17 00:00:00 2001 From: Elwood Ying Date: Fri, 3 Jul 2026 16:30:27 +0800 Subject: [PATCH 1/3] Add CVE rules for Jan and Open WebUI components Add 4 NVD-verified CVE rules for components that had fingerprints but no vulnerability rules: - Jan CVE-2024-36858: Arbitrary file upload via /v1/app/writeFileSync (CVSS 9.8, CRITICAL) - NVD confirmed, GHSA-qfjh-mvq6-c5p8 - Open WebUI CVE-2025-46719: Stored XSS via HTML tags in chat messages (CVSS 5.4, MEDIUM) - NVD confirmed, GHSA-9f4f-jv96-8766 - Open WebUI CVE-2026-45346: Stored XSS in SVG renderer (CVSS 5.4, MEDIUM) - NVD confirmed, GHSA-r29h-37fj-x2w6 - Open WebUI CVE-2026-54014: Path traversal in cache file serving (CVSS 4.3, MEDIUM) - NVD confirmed, GHSA-j2c8-v969-8r5c All CVEs verified via NVD API (services.nvd.nist.gov) with exact CVE IDs, descriptions, CVSS scores, and reference URLs. --- data/vuln/jan/CVE-2024-36858.yaml | 22 +++++++++++++++++++++ data/vuln/open-webui/CVE-2025-46719.yaml | 25 ++++++++++++++++++++++++ data/vuln/open-webui/CVE-2026-45346.yaml | 20 +++++++++++++++++++ data/vuln/open-webui/CVE-2026-54014.yaml | 22 +++++++++++++++++++++ 4 files changed, 89 insertions(+) create mode 100644 data/vuln/jan/CVE-2024-36858.yaml create mode 100644 data/vuln/open-webui/CVE-2025-46719.yaml create mode 100644 data/vuln/open-webui/CVE-2026-45346.yaml create mode 100644 data/vuln/open-webui/CVE-2026-54014.yaml diff --git a/data/vuln/jan/CVE-2024-36858.yaml b/data/vuln/jan/CVE-2024-36858.yaml new file mode 100644 index 000000000..5afd4eed8 --- /dev/null +++ b/data/vuln/jan/CVE-2024-36858.yaml @@ -0,0 +1,22 @@ +info: + name: jan + cve: CVE-2024-36858 + summary: Jan 存在任意文件上传漏洞,攻击者可通过 /v1/app/writeFileSync 接口执行任意代码。 + details: | + Jan v0.4.12 的 /v1/app/writeFileSync 接口存在任意文件上传漏洞。 + 攻击者可以通过该接口上传恶意构造的文件,从而在目标服务器上执行任意代码。 + 该漏洞源于接口对文件路径和内容缺乏充分的安全校验,允许攻击者覆盖关键系统文件或写入恶意脚本。 + 该漏洞已在 janhq/jan v0.5.2 中修复(原 @janhq/core 包已废弃)。 + cvss: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H + severity: CRITICAL + security_advise: | + 1. 将 Jan 升级到 `0.5.2` 或更高版本。 + 2. 限制 /v1/app/writeFileSync 接口的访问权限,仅允许可信来源调用。 + 3. 对文件写入路径进行严格的白名单校验,禁止写入系统关键目录。 + 4. 部署 WAF 规则检测和拦截恶意文件上传请求。 +rule: version > "0" && version < "0.5.2" +references: + - https://github.com/advisories/GHSA-qfjh-mvq6-c5p8 + - https://nvd.nist.gov/vuln/detail/CVE-2024-36858 + - https://github.com/HackAllSec/CVEs/tree/main/Jan%20Arbitrary%20File%20Upload%20vulnerability + - https://github.com/janhq/jan diff --git a/data/vuln/open-webui/CVE-2025-46719.yaml b/data/vuln/open-webui/CVE-2025-46719.yaml new file mode 100644 index 000000000..93494653b --- /dev/null +++ b/data/vuln/open-webui/CVE-2025-46719.yaml @@ -0,0 +1,25 @@ +info: + name: openwebui + cve: CVE-2025-46719 + summary: Open WebUI 存在存储型 XSS 漏洞,通过聊天消息中的 HTML 标签注入 JavaScript 代码。 + details: | + Open WebUI 在 0.6.6 之前版本中,聊天消息渲染时对某些 HTML 标签处理不当, + 攻击者可在聊天记录中注入 JavaScript 代码。该代码在用户每次打开该聊天记录时执行, + 可窃取用户访问令牌并完全控制其账户。聊天记录可在同一服务器用户间共享, + 若管理员启用了"Community Sharing"则可向整个社区传播。 + 若针对管理员用户利用此漏洞,可通过创建包含恶意 Python 代码的函数实现远程代码执行。 + 该漏洞还影响 openwebui.com 上的共享聊天记录,形成可蠕虫式传播的存储型 XSS。 + 该漏洞在 0.6.6 版本中修复。 + cvss: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N + severity: MEDIUM + security_advise: | + 1. 将 Open-WebUI 升级到 `0.6.6` 或更高版本。 + 2. 在管理员面板中禁用 "Enable Community Sharing" 功能,减少攻击面。 + 3. 对聊天消息中的 HTML 内容进行严格的输入清理,使用 DOMPurify 等库过滤危险标签。 + 4. 限制函数创建功能的权限,仅允许受信任的管理员创建自定义函数。 +rule: version > "0" && version < "0.6.6" +references: + - https://github.com/open-webui/open-webui/security/advisories/GHSA-9f4f-jv96-8766 + - https://nvd.nist.gov/vuln/detail/CVE-2025-46719 + - https://github.com/open-webui/open-webui/commit/6fd082d55ffaf6eb226efdeebc7155e3693d2d01 + - https://github.com/open-webui/open-webui diff --git a/data/vuln/open-webui/CVE-2026-45346.yaml b/data/vuln/open-webui/CVE-2026-45346.yaml new file mode 100644 index 000000000..9315176d6 --- /dev/null +++ b/data/vuln/open-webui/CVE-2026-45346.yaml @@ -0,0 +1,20 @@ +info: + name: openwebui + cve: CVE-2026-45346 + summary: Open WebUI 的 SVG 渲染器存在存储型跨站脚本漏洞。 + details: | + Open WebUI 在 0.6.31 之前版本中,SVG 渲染器实现存在跨站脚本漏洞。 + 攻击者可通过构造恶意 SVG 内容注入 JavaScript 代码,在用户浏览器中执行。 + 该漏洞可导致用户会话令牌窃取和账户接管。 + 该漏洞在 0.6.31 版本中修复。 + cvss: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N + severity: MEDIUM + security_advise: | + 1. 将 Open-WebUI 升级到 `0.6.31` 或更高版本。 + 2. 对 SVG 内容进行严格清理,移除其中的