Die Schwachstelle betrifft Open WebUI, eine selbst gehostete KI-Plattform, die vollständig offline betrieben werden kann. Ursache ist die URL-Prüffunktion validate_url() im Abrufmodul: Sie kontrolliert ausschließlich die ursprünglich übergebene Adresse. Die nachgelagert verwendeten HTTP-Clients folgen jedoch HTTP-Weiterleitungen (3xx) automatisch, ohne das Ziel der Umleitung erneut gegen die Sperrliste für private und Metadaten-IP-Adressen abzugleichen. Dadurch entsteht eine serverseitige Anfragefälschung (SSRF): Ein bereits angemeldeter Nutzer kann eine öffentlich erreichbare Adresse einreichen, die per Weiterleitung auf eine interne Adresse zeigt – etwa den lokalen Rechner, interne Netzbereiche oder den Cloud-Metadatendienst. Den Inhalt der internen Antwort bekommt der Angreifer anschließend zurückgeliefert. Ausnutzbar ist dies über mehrere Schnittstellen, darunter die Web-Abruf-Funktion, die Bild-Endpunkte sowie die Chat-Vervollständigung mit Bild-URL-Inhalten. So lassen sich interne, eigentlich abgeschottete Dienste und sensible Metadaten von außen auslesen.