CVE-2026-45314 Open WebUIのSVGプロファイル画像処理で発生するコードインジェクション脆弱性対応策 AI Security担当者必見

結論

• 危険度: 情報なし
• 対象: open-webui <= 0.9.2
• 修正: 0.9.3
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-15 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	2分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-45314は、Open WebUIで攻撃者が不正なSVG画像を登録して、ブラウザ上で悪意あるスクリプトを実行できます。これは、LLMゲートウェイやAIプラットフォームをオフライン運用する開発者や運用者にとって重要な問題です。

やさしく説明すると

例えると、玄関に普通の鍵がかかっていると思ったら、実は合鍵で簡単に開けられてしまうような状態です。Open WebUIの「プロフィール画像」機能に特別な仕掛けがあり、攻撃者が悪意のある画像を登録すると、その画像を見たブラウザで自動的に悪い動作が走ってしまいます。これにより、悪意あるコードが利用者の環境で勝手に動く危険があります。

技術的な原因

この脆弱性はCWE-87（「不適切な検証によるメタデータ改変」）に該当します。Open WebUIはチャネルのWebhook作成や更新時に、外部から送信されたプロフィール画像のURLとしてdata:image/svg+xml;base64,…形式のSVG画像を受け入れます。SVG内に埋め込まれたJavaScriptコード（例えばonloadイベントハンドラ）が無害化（サニタイズ）されずに表示されるため、攻撃者はブラウザでスクリプトを実行できます。

影響を受けると何が困るか

• プロンプトインジェクションを介したエージェント乗っ取りによる誤動作や情報漏洩
• モデルやRAG（Retrieval-Augmented Generation）データの不正操作・改ざん
• インフラ全体への横展開を狙った攻撃
• AI駆動開発ツール(Cursor/Cline/GitHub Copilot等)経由のリモートコード実行リスク
• .aiシステムに保存されたAPIキーや認証情報の漏洩リスク

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

• CVSSスコアはNVDで未設定。CWE-87（不適切な検証）によるクロスサイトスクリプティング(XSS)の脆弱性。
• EPSSスコア（悪用予測スコア）は未公開で、現状悪用観測もない。
• ランサムウェアによる悪用は未確認。
• 公開されているPoCや攻撃コードは見つかっていない。
• ネットワーク経由で悪意あるSVGを登録可能だが、攻撃はブラウザでの画像表示時に発生。
• デフォルト設定で対象バージョンを使用していると脆弱。

誰が動くべきか

• Open WebUIを利用しているLLM GatewaysやAgenticプラットフォームの運用者およびSRE/SecOpsチーム
• バイブコーダー開発者で、Cursor/ClineやGitHub Copilotなどのツールを統合利用しているAI駆動開発者
• AI GatewayやAgentフレームワークを本番で使う全チーム

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
open-webui (Pythonパッケージ)	0.9.2以下	0.9.3

バージョン確認コマンド

Python（pip）

pip show open-webui

出力例:

Name: open-webui
Version: 0.9.2
Summary: Open WebUI platform
...

判定: バージョンが 0.9.2 以下なら脆弱。0.9.3 以上なら安全。

Python（pip list）

pip list | grep open-webui

出力例:

open-webui 0.9.2

判定: 0.9.2以下は脆弱。

設定確認

この脆弱性は設定依存ではありません。バージョンが対象範囲内なら脆弱です。

Nucleiテンプレートでの検出

公開されているNucleiテンプレートはありません。検出はバージョン確認で行ってください。

STEP 4: 修正を適用する

パッチ適用

Pythonパッケージアップグレード

pip install --upgrade open-webui

出力例:

Successfully installed open-webui-0.9.3

判定: インストール後のバージョンが 0.9.3 以上なら修正済み。

注意: 本番環境ではアップグレード前に必ずバックアップを取得してください。ステージング環境で動作確認を行い、万が一に備えたダウンタイム計画も検討してください。

パッチ即時適用ができない場合の暫定対応

2026年5月現在、ベンダーから公式の暫定対応策は提示されていません。可能な限り対象バージョンからのアップグレードを推奨します。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを再度実行します。

期待される出力

Python（pip）

pip show open-webui

出力例:

Name: open-webui
Version: 0.9.3
Summary: Open WebUI platform
...

判定: バージョンが 0.9.3 以上ならOK。

追加で確認すべきこと

脆弱性修正後もアクセスログに不審なリクエストがないか監視してください。Nucleiテンプレートはありませんが、将来公開された場合は再実行して確認してください。

補足: 悪用観測状況

本CVEに関しては現時点で公開されたPoC（Proof of Concept）や悪用の報告はありません。GitHub Advisory Databaseにも攻撃コードは登録されていません。ランサムウェアなどによる悪用も未確認です。今後の動向に注意してください。

補足: CVSSメトリクス詳細

• AV（攻撃ベクター / Attack Vector）: ネットワーク経由やローカルかの区別
• AC（攻撃難度 / Attack Complexity）: 攻撃の難易度
• PR（特権要否 / Privileges Required）: 攻撃に必要な権限
• UI（ユーザ操作 / User Interaction）: 攻撃に被害者の操作が必要か
• S（影響範囲 / Scope）: 影響の広がり
• C（機密性影響 / Confidentiality Impact）: 情報漏洩の程度
• I（完全性影響 / Integrity Impact）: データ改ざんの程度
• A（可用性影響 / Availability Impact）: サービス停止の程度

※本CVEはNVDでCVSS評価がまだ公開されていません。

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3の対象バージョン確認、STEP 4での0.9.3へのアップグレード、STEP 5での確認を必ず行ってください。

Q. パッチが適用できない場合、どうすればよいですか？

A. 公式の暫定対応はありませんが、内部ネットワークからのアクセス制限や不要なWebhook機能の無効化を検討してください。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. ブラウザから悪意あるSVGが読み込まれた可能性を示す不審なログやWebhookの異常な更新履歴があれば警戒してください。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の技術的深刻度を示し、EPSSは実際にどれくらい悪用されるかの確率を示します。両方確認すると対応優先度が分かりやすくなります。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-87のXSS系脆弱性は他のLLM/AIプラットフォームでも発生する恐れがあります。類似の脆弱性レポートも常に監視しましょう。

参考文献

• NVD CVE-2026-45314
• GitHub Advisory GHSA-3856-3vxq-m6fc
• GitHub Advisory Database
• JVN iPedia
• CISA KEV Catalog

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• AI UI に関するCVE・脆弱性記事一覧

2026-05-16 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 0日）。

項目	公開時点	2026-05-16時点	変化の意味
CVSSスコア変化	9 (Critical)	7.4 (HIGH)	NVD再評価でスコアが下方修正
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

CVSS（共通脆弱性評価システム）スコアが「9 (Critical)」から「7.4 (HIGH)」へと、NVDによる再評価によって下方修正されました。これは当初、極めて高リスク（クリティカル）と判断されていたものの、詳細な調査や実際の影響範囲、攻撃成立要件などを再検証した結果、High相当と評価が見直されたことを意味します。運用上は、対応急務レベルから計画的なアップデート推奨レベルに一段階下がるものの、依然として業務上の実害や情報流出リスクが残るため、脆弱性管理ポリシーに従い対応計画を立てることが重要です。ゆとりができた分、他の緊急度がより高い案件があればそちらを優先し、本件については業務計画内での対応を推奨します。

タイトルプレフィックス未付与

公開時点ではタイトルに危険度プレフィックス（【高】等）が付与されていませんでしたが、最新の危険度に基づき「【高】」を付与することが適切であると判断され、記事タイトルのプレフィックスが修正されました。これは編集時の単純な記載漏れの補正ですが、読者や管理者が脆弱性管理や対応優先度を判断する際に見落としが生じるリスクを低減するため、重要な更新となります。今後は記事タイトルとNVD最新評価が常に同期しているか、チェック体制の強化も推奨されます。

2026-05-23 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-05-23時点	変化の意味
CVSSスコア変化	9 (Critical)	6.1 (MEDIUM)	NVD再評価でスコアが下方修正

CVSSスコア変化

2026年5月18日にNVD（National Vulnerability Database）による再評価が行われ、CVE-2026-45314のCVSSスコアが「9 (Critical)」から「6.1 (MEDIUM)」へ下方修正されました。これは、脆弱性の技術的評価や影響範囲が新たな分析や追加情報に基づき見直されたためです。攻撃経路や影響範囲が当初考えられていたよりも限定的である、あるいは現実的な被害発生確率が相対的に低いと判断された可能性があります。

この変更により、運用上は「緊急」または「計画的」な対応に切り替える判断材料となります。すでに対策済みの場合は継続的な監視で十分ですが、まだ対応していない場合も、通常のメンテナンスや計画的なアップデートのタイミングでの対応が許容可能となりました。とはいえ、未修正状態を放置するのは推奨されませんので、公式パッチやガイドラインに従った修正作業は引き続き推奨されます。