1  info:
 2    name: openwebui
 3    cve: CVE-2025-15603
 4    summary: Open WebUI JWT 密钥处理程序 WEBUI_SECRET_KEY 随机性不足漏洞
 5    details: >-
 6      Open WebUI 0.6.16 及之前版本的 JWT 密钥处理组件中存在弱随机性漏洞。
 7      backend/start_windows.bat 文件中 WEBUI_SECRET_KEY 参数导致 JWT 密钥生成
 8      使用了不足够随机的值。远程利用需要较高的攻击复杂度。成功利用此漏洞的攻击者
 9      可能预测或恢复 JWT 密钥，从而允许伪造会话令牌并未经授权访问应用程序。
10      此漏洞已公开披露，可能正在被积极利用。
11    cvss: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
12    severity: LOW
13    security_advise: 升级 Open WebUI 至 0.6.16 以上版本。确保 WEBUI_SECRET_KEY 设置为强随机生成值。
14    references:
15      - https://nvd.nist.gov/vuln/detail/CVE-2025-15603
16      - https://huntr.com/bounties/b9fc7fee-d25d-4100-9703-5e78a61e1ce4
17  rule: version <= "0.6.16"
18  references:
19    - https://nvd.nist.gov/vuln/detail/CVE-2025-15603
20    - https://huntr.com/bounties/b9fc7fee-d25d-4100-9703-5e78a61e1ce4