Wenn sich ein User mit einem bösartigen Server verbindet, was durch Social Engineering leicht möglich ist, kann dieser Server eine SSE mit ausführbarem JavaScript senden. Dieses Skript hat vollen Zugriff auf den Speicher des Browsers, einschließlich des JWT, welches zur Authentifizierung verwendeten wird.
„Open WebUI speichert das JWT-Token im localStorage“, so die Experten von Cato in einem Blogbeitrag. „Jedes auf der Seite ausgeführte Skript kann darauf zugreifen. Tokens sind standardmäßig langlebig, haben kein HttpOnly-Attribut und sind Tab-übergreifend. In Kombination mit dem Execute-Event bietet dies ein Zeitfenster für die Kontoübernahme.“
Laut einer Beschreibung der National Vulnerability Database (NVD) erfordert der Angriff jedoch, dass das Opfer Direct Connections aktiviert, die standardmäßig deaktiviert sind, und die schädliche Modell-URL des Angreifers hinzufügt.
