【高】CVE-2026-45665 Open WebUIのストアドXSSによる権限昇格リスク AI Security視点でのバイブコーダー必読対応手順

結論

• 危険度: High (CVSS 8.1)
• 対象: open-webui <= 0.7.2
• 修正: 0.8.0
• KEV: No (NVD Critical由来。CISA KEVには未登録)

最終更新: 2026-05-15 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP 1: 何が起きているか

一言でいうと

CVE-2026-45665は、オープンソースのAIプラットフォーム「Open WebUI」のバナー機能に、管理者権限を持つ攻撃者が悪意あるスクリプトを仕込める脆弱性です。この脆弱性を使うと、スーパ管理者のセッショントークンを盗めます。LLMゲートウェイやAgentフレームワークなどOpen WebUIを運用する担当者は最優先で対応してください。

やさしく説明すると

Open WebUIのバナーは、サイト上部などに表示されるお知らせやメッセージです。通常は信頼できる管理者だけが更新できます。しかし、この脆弱性は「バナーに載せるメッセージの安全確認の順番が間違っている」ため、悪い管理者がバナーに悪意あるコードを埋め込めます。つまり、家の玄関にかける掲示板に隠しドアのカギを仕込まれたような状況です。すべての利用者、特にスーパ管理者もその掲示板を見てしまい、結果として権限を乗っ取られてしまいます。

技術的な原因

この脆弱性は、HTMLやJavaScriptコードを安全に処理する「サニタイズ（無害化）」の手順ミスにあります。具体的には、DOMPurifyというライブラリを使って一度汚染を除去した後に、再度マークアップを解析するためにmarkedライブラリを用いています。ところが、markedの処理で新たに安全でないコードが生成されてしまい、最終的に悪意あるスクリプトが残ります。CWE-79「クロスサイトスクリプティング（Stored XSS）」に該当します。

影響を受けると何が困るか

• スーパ管理者（Primary Admin）のセッショントークンが盗まれ、管理者権限を乗っ取られる
• LLMゲートウェイ運用者の権限管理が破壊され、管理APIを悪用される
• Agent フレームワークの動作を乗っ取り、エージェントが攻撃者に操られる
• LLMコンテキスト情報やプロンプトが漏洩する恐れがある
• AI駆動開発ツール（Cursor/Cline/GitHub Copilotなど）を使う開発者の環境にも悪影響
• 不正なバナー表示を通じて、UIを介した追加攻撃の踏み台になる

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

• CVSSスコアは8.1でHigh評価。かなり危険だが、ランサムウェア悪用は確認されていない
• EPSSスコアは未公開。現時点での悪用予測データなし
• 公開されているPoC（実証コード）は存在しない
• 攻撃には管理者権限（高い権限）が必要で、ユーザ操作も要求される
• バナーが全ユーザ（スーパ管理者含む）に表示されるため権限昇格につながる

誰が動くべきか

• Open WebUIを利用・運用しているチーム全般
• LLM GatewayやAgenticフレームワークを本番運用するSRE/SecOpsチーム
• AI駆動のバイブコーダー（Cursor、Cline、Copilotなど）利用者も環境にOpen WebUIを組み込んでいたら確認を推奨

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

バージョン確認コマンド

Node.js (npm)

npm list open-webui

出力例:

open-webui@0.7.2
└─ (依存ツリー内)

判定: バージョンが 0.7.2 以下なら脆弱、0.8.0 以上で安全

設定確認

この脆弱性は特定の設定依存ではありません。バージョンが対象範囲なら脆弱です。

Nucleiテンプレートでの検出

現時点で公開されているNucleiテンプレートは存在しません。バージョン確認を最優先してください。

STEP 4: 修正を適用する

パッチ適用

Node.js環境

npm install open-webui@0.8.0

判定: インストール後、バージョンが 0.8.0 以上であれば修正済み

注意: パッチ適用前に必ずコードや構成のバックアップを取り、ステージング環境で動作検証を行ってください。本番でのダウンタイム計画も検討してください。

パッチ即時適用ができない場合の暫定対応

公式の暫定対応策は提供されていません。最優先でバージョンアップを行ってください。

STEP 5: 修正されたことを確認する

STEP 3で使用したバージョン確認コマンドを再度実行します。

期待される出力

Node.js (npm)

npm list open-webui

出力例:

open-webui@0.8.0
└─ (依存ツリー内)

判定: バージョンが 0.8.0 以上ならOK

追加で確認すべきこと

• 不審な管理者アカウントやバナーの変更履歴がログにないか確認してください
• 脆弱性が修正されているかどうかを運用監視ツールで随時追跡することを推奨します

補足: 悪用観測状況

2026年5月時点、CVE-2026-45665に関する公開PoCや実際の悪用報告は確認されていません。GitHub上にも関連エクスプロイトコードは公開されていません。ランサムウェアグループによる悪用の報告もありません。

しかし、脆弱性の性質上、将来的な悪用リスクがあるため早期対応が望まれます。

補足: CVSSメトリクス詳細

• AV (Attack Vector, 攻撃元): NETWORK（ネットワーク経由で攻撃可能）
• AC (Attack Complexity, 攻撃複雑度): LOW（攻撃は比較的容易）
• PR (Privileges Required, 必要権限): HIGH（高い権限を必要とする）
• UI (User Interaction, ユーザ操作): REQUIRED（攻撃にはユーザ操作が必要）
• S (Scope, 影響範囲): CHANGED（攻撃により権限昇格など影響範囲が拡大）
• C (Confidentiality, 機密性への影響): HIGH（データ漏洩など影響が大きい）
• I (Integrity, 完全性への影響): HIGH（データや動作の改ざんが可能）
• A (Availability, 可用性への影響): NONE（サービス停止の可能性はなし）

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で自分の環境のopen-webuiバージョンを確認し、0.7.2以下ならSTEP 4の通り0.8.0以上へアップデートしてください。その後、STEP 5で修正が反映されていることを必ず確認してください。

Q. パッチが適用できない場合、どうすればよいですか？

A. 公式の暫定対応策はありません。修正バージョンまでのアップグレードが困難な場合は、該当システムへのアクセス制御やネットワーク分離で被害対象から隔離してください。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. ログ監視で管理者アカウントによるバナー改変履歴、特に不審な内容がないかチェックしてください。現在のところ、特別なIOCは公開されていません。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは理論上の深刻度を示しますが、EPSSは「実際に悪用される可能性」を示します。両方を見ると、優先度判断がより実務的に正確になります。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-79（クロスサイトスクリプティング）タイプの脆弱性は多くのWebアプリケーションで見られます。特にサニタイズ処理不備による権限昇格系の問題は類似例が多数あります。

参考文献

• NVD – CVE-2026-45665
• GitHub Advisory GHSA-cqp4-qqvg-3787
• GitHub Advisory Database 検索結果

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• High脆弱性 に関するCVE・脆弱性記事一覧
• XSS に関するCVE・脆弱性記事一覧
• 権限昇格 に関するCVE・脆弱性記事一覧
• AI UI に関するCVE・脆弱性記事一覧