Open WebUIで発見されたCVE-2025-64495の高リスク脆弱性により多数のインスタンスが危険に直面

Open WebUIで重要なセキュリティ脆弱性CVE-2025-64495が発見されました。この脆弱性は「Insert Prompt as Rich Text」機能が有効なときに、Stored DOM XSS攻撃を受ける可能性があり、その結果、アカウント乗っ取り（ATO）やリモートコード実行（RCE）攻撃が可能となります。

この脆弱性のCVSSスコアは8.7と評価され、高いリスクがあることを示しています。この問題を解決するためのProof of Concept（PoC）や推奨事項は、GitHubのOpen WebUIセキュリティ勧告ページで提供されています（https://github.com/open-webui/open-webui/security/advisories/GHSA-w7xj-8fx7-wfch）。

FOFAクエリを使用して「app=’Open-WebUI’」で検索した結果、合計151,305の脆弱なインスタンスが確認されました。これは多くのシステムがこの脆弱性の影響を受ける可能性があることを示しており、迅速な対応が求められます。開発者やシステム管理者は、できるだけ早くパッチを適用してこの問題を解決するべきです。

今回の発見は、Webインターフェースの開発と展開の過程でセキュリティがいかに重要であるかを再認識させる事例となっています。Open WebUIのユーザーは、この脆弱性に関する情報に注意を払い、提供されるパッチや解決策を即座に適用してシステムの安全性を確保する必要があります。