Open WebUI: Kritische Sicherheitslücke erlaubt Übernahme von KI-Systemen

Eine schwere Schwachstelle in der beliebten KI-Oberfläche Open WebUI kann Angreifern die vollständige Kontrolle über selbstgehostete KI-Systeme geben. Die Sicherheitslücke mit der Kennung CVE-2025-64496 nutzt eine Funktion für externe Verbindungen aus und wurde diese Woche von Sicherheitsforschern detailliert beschrieben. Unternehmen sind aufgefordert, ihre Systeme sofort zu aktualisieren.

Angriffsvektor: Die Falle der “Direkten Verbindungen”

Das Herzstück der Schwachstelle ist die Funktion “Direct Connections” in Open WebUI. Sie ermöglicht es Nutzern, die Oberfläche mit externen, OpenAI-kompatiblen Modell-Servern zu verbinden. Laut einer technischen Analyse von Cato Networks vom 6. Januar liegt das Problem in der unsicheren Verarbeitung von Server-Sent Events (SSE) bei der Kommunikation mit diesen externen Endpunkten.

Viele Unternehmen sind unvorbereitet auf neue Cyber‑Risiken wie Remote‑Code‑Execution und Token‑Diebstahl. Experten berichten, dass 73% der deutschen Firmen bei Cyberangriffen nicht ausreichend geschützt sind. Dieses kostenlose E‑Book erklärt praxisnah, welche technischen Maßnahmen (Patch‑Management, Netzwerksegmentierung) und organisatorischen Schritte (Nutzerrollen, Schulungen) Sie sofort umsetzen können, um selbstgehostete KI‑Plattformen zu sichern. Jetzt kostenlosen Cyber-Security-Report herunterladen

Die Browser-basierte Oberfläche gefährdeter Open WebUI-Versionen (v0.6.34 und älter) vertraut den Antworten verbundener Server implizit. Kann ein Angreifer einen Nutzer dazu bringen, sich mit einem bösartigen Server zu verbinden – etwa durch das Vorgeben, ein “kostenloses GPT-4”-Angebot zu sein –, kann dieser Server eine manipulierte SSE-Nachricht mit schädlichem JavaScript senden. Dieses Skript wird dann stillschweigend in der Browser-Sitzung des Nutzers ausgeführt und umgeht so Standard-Sicherheitsprüfungen.

Diese “Client-seitige” Ausführung ist besonders gefährlich, da sie im Kontext der authentifizierten Sitzung des Nutzers stattfindet. Der Angreifer erhält sofort Zugriff auf sensible, im Browser gespeicherte Daten.

Eskalationsrisiko: Vom Token-Diebstahl zur Fernausführung

Sobald das schädliche JavaScript ausgeführt wird, kann die Angriffskette schnell eskalieren. Die primäre Folge ist die Kontoübernahme (Account Takeover, ATO). Der injizierte Code kann auf den localStorage zugreifen und das JSON Web Token (JWT) des Nutzers stehlen – den Authentifizierungsschlüssel für die Sitzung. Mit diesem Token kann ein Angreifer den Zugriff des Nutzers spiegeln, private Chat-Verläufe einsehen, hochgeladene Dokumente herunterladen und in der Oberfläche gespeicherte API-Schlüssel extrahieren.

Die Bedrohung geht jedoch über Datendiebstahl hinaus. Für Nutzer mit erweiterten Berechtigungen – insbesondere der workspace.tools-Berechtigung – öffnet die Schwachstelle eine Tür zur Remote Code Execution (RCE) auf dem Backend-Server. Das Cato-CTRL-Team wies darauf hin, dass ein Angreifer mit einem gestohlenen Admin-Token ein bösartiges “Werkzeug” im Open-WebUI-Arbeitsbereich erstellen kann. Dieses Werkzeug kann beliebigen Python-Code ohne Sandboxing oder Validierung ausführen.

Diese zweistufige Eskalation – vom Token-Diebstahl im Browser zur serverseitigen Code-Ausführung – gibt einem externen Angreifer effektiv die volle Kontrolle über die selbstgehostete KI-Umgebung. Von dort aus kann er sich weiter im Unternehmensnetzwerk bewegen.

Entdeckung und die Gefahr von “Schatten-KI”

Die Schwachstelle wurde ursprünglich von Vitaly Simonovich, einem Senior Security Researcher bei Cato CTRL, identifiziert. Während die Entdeckung bereits Ende 2025 stattfand, erreichten die detaillierte Analyse und öffentlichen Warnungen diese Woche (5.–6. Januar 2026) ihren Höhepunkt. Die Cybersicherheits-Community untersucht derzeit intensiv die Risiken von “Shadow AI” – dem nicht autorisierten Einsatz von KI-Tools in Unternehmen.

Berichte von InfoWorld und SC Media betonten, dass diese Schwachstelle die Fragilität des Trends “Bring Your Own Model” (BYOM) offenlegt. Wenn Mitarbeiter flexible, selbstgehostete Alternativen zu unternehmensgenehmigten KI-Tools suchen, setzen sie oft Plattformen wie Open WebUI ohne strenge Sicherheitsprüfung ein. Die “Direct Connections”-Schwachstelle nutzt dieses Vertrauen aus und macht eine für Interoperabilität gedachte Funktion zum Einfallstor für Supply-Chain-Angriffe.

Der Zeitpunkt dieser Berichte fällt mit einem breiteren Branchenfokus auf die Sicherung von KI-Infrastruktur zusammen. Da Open WebUI eine beliebte Wahl für offline- und datenschutzfokussierte LLM-Interaktionen ist, ist die Angriffsfläche für Organisationen, die ihr Patch-Management für Open-Source-KI-Tools nicht automatisiert haben, erheblich.

Gegenmaßnahmen und Sicherheitsempfehlungen

Die Maintainer von Open WebUI haben diese kritische Lücke in Version 0.6.35 geschlossen. Das Update führt eine Middleware ein, die die Ausführung von “execute”-Server-Sent Events aus Direkten Verbindungen explizit blockiert und so den Angriffsvektor neutralisiert.

Sicherheitsexperten und das Team von Cato Networks raten allen Organisationen, die Open WebUI nutzen, zu folgenden sofortigen Maßnahmen:

1. Sofortiges Update: Stellen Sie sicher, dass alle Instanzen von Open WebUI auf Version 0.6.35 oder höher laufen.
2. Berechtigungen prüfen: Überprüfen Sie Nutzerrollen und beschränken Sie die workspace.tools-Berechtigung auf unbedingt notwendiges Personal. Diese Berechtigung ist die Brücke zwischen kompromittierten Konten und vollständiger Server-RCE.
3. Netzwerksegmentierung: Isolieren Sie selbstgehostete KI-Oberflächen von kritischen internen Netzwerken, um den Schadensradius bei einem erfolgreichen Angriff zu begrenzen.
4. Nutzer schulen: Warnen Sie Mitarbeiter vor den Risiken, sich mit nicht vertrauenswürdigen externen Modell-Servern zu verbinden. Angebote für “kostenlose Modelle” sollten mit demselben Misstrauen wie Phishing-E-Mails behandelt werden.

Kontext: Die Wachstumsschmerzen der KI-Sicherheit

Die Aufdeckung von CVE-2025-64496 unterstreicht ein wiederkehrendes Thema im Cybersicherheitsumfeld 2025/2026: die Reifelücke zwischen KI-Innovation und Sicherheits-Governance. Im Gegensatz zu traditioneller Unternehmenssoftware, die rigorosen Akzeptanztests unterzogen wird, werden KI-Oberflächen oft ad-hoc von Entwicklern und Data Scientists eingeführt.

“Dies ist ein klassisches Beispiel dafür, dass Funktionalität die Sicherheit überholt”, heißt es in aktuellen Branchenanalysen zu dem Vorfall. Die Möglichkeit, sich mit beliebigen Drittanbieter-Servern zu verbinden, ist eine mächtige Funktion für die Forschung, aber ein Albtraum für die Compliance. Der Vorfall spiegelt frühere Supply-Chain-Schwachstellen wider, bei denen “Komfort”-Funktionen (wie Plugin-Architekturen) zu Sicherheitslücken wurden.

Darüber hinaus stellt der Angriffsvektor – das Social Engineering von Nutzern zur Verbindung mit einem bösartigen “Modell” – eine ausgeklügelte Weiterentwicklung von Phishing dar. Statt Anmeldedaten über eine gefälschte Login-Seite zu stehlen, bieten Angreifer nun “Mehrwert” (Zugang zu einem Modell) an, um die Anwendung dazu zu bringen, sich selbst zu kompromittieren.

Ausblick: Strengere Kontrollen für KI-Plattformen erwartet

Für 2026 ist mit einer Verschärfung der Kontrollen rund um selbstgehostete KI-Plattformen zu rechnen. Regulierungsbehörden in der EU und Nordamerika werden “Shadow AI”-Einsätze voraussichtlich strenger unter Rahmenwerken wie dem KI-Gesetz prüfen.

Für Open WebUI und ähnliche Projekte wird dieser Vorfall wahrscheinlich einen Wechsel zu “Secure by Default”-Konfigurationen vorantreiben, bei denen externe Verbindungen standardmäßig deaktiviert sind. Es ist zu erwarten, dass Sicherheitsanbieter spezialisiertere “KI-Firewall”-Lösungen auf den Markt bringen, die den Datenverkehr zwischen LLM-Oberflächen und externen Modellanbietern in Echtzeit auf bösartige SSE-Pakete überprüfen können.

Organisationen sollten KI-Oberflächen als kritische Infrastruktur behandeln und die gleiche Strenge bei Patch-Management und Monitoring anwenden wie bei einem öffentlich zugänglichen Webserver.

PS: Sie wollen konkrete Vorlagen und schnelle Maßnahmen? Das Gratis‑Toolkit enthält Checklisten für Patch‑Management, Vorlagen für Awareness‑Schulungen und Empfehlungen zur Einschränkung von Nutzerrechten – ideal für Unternehmen, die selbstgehostete KI sicher betreiben wollen. Praktische Tipps, die auch kleine IT‑Teams sofort umsetzen können. Gratis Cyber-Security-Toolkit herunterladen