漏洞总结:Open WebUI Tool Valves 访问控制失效 漏洞概述 漏洞名称:Broken Access Control in Open WebUI Tool Valves CVE编号:CVE-2025-14222 严重程度:High(7.7/10) 影响版本:< 0.8.11 修复版本:0.8.11 Tool Valves 端点未正确限制对 valve 的读取访问权限,导致低权限用户(Member角色)可访问 valve 中的所有数据,包括第三方系统的敏感 API 密钥。 影响范围 使用 Open WebUI Tools 且配置了 Valve 的所有实例 攻击者可获取后端系统的 API 密钥等敏感数据 进而访问第三方系统 修复方案 升级至 Open WebUI 0.8.11 或更高版本 POC代码 利用步骤 1. 以普通用户身份登录并复制 authorization token 2. 使用以下请求访问任意现有工具的已配置 valve: 漏洞代码位置 第515行附近: 漏洞原因:该路由未检查请求用户是否具有管理员权限。