1  info:
 2    name: open-webui
 3    cve: CVE-2024-47874
 4    summary: Open WebUI 通过 fastapi 对 starlette 存在易受攻击的依赖
 5    details: |
 6      在 open-webui 的 0.3.32 版本中，该应用程序通过其对 fastapi 的依赖使用了易受攻击的 starlette 包版本。
 7      starlette 包版本 <=0.49 容易受到不受控制的资源消耗的影响，这可以被利用来通过内存耗尽导致拒绝服务。
 8      此问题在 fastapi 版本 0.115.3 中得到解决。
 9    cvss: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
10    severity: HIGH
11    security_advise: |
12      1. 升级到 open-webui >=0.3.33
13      2. 确保 fastapi 更新到 0.115.3 或更高版本
14      3. 监控 starlette 包和 fastapi 的更新，以获取任何进一步的安全补丁
15  rule: version < "0.3.33"
16  references:
17    - https://github.com/encode/starlette/security/advisories/GHSA-f96h-pmfr-66vw
18    - https://nvd.nist.gov/vuln/detail/CVE-2024-47874
19    - https://github.com/open-webui/open-webui
20    - https://huntr.com/bounties/56175583-70e3-4d53-94de-3f3a8e2423ec