Open WebUI 是一个自托管的离线人工智能平台。在 0.9.3 版本之前，音频转录上传端点存在严重的存储型跨站脚本（XSS）漏洞。该端点接受用户提供的文件名，并从中提取扩展名，将文件保存到 CACHE_DIR/audio/transcriptions/ 目录下。随后，/cache/{path} 路由会通过 FileResponse 直接返回这些文件，其 Content-Type 由磁盘上文件的扩展名决定，且不设置 Content-Disposition 头。因此，拥有默认 chat.stt 权限的已验证用户上传一个名为 pwn.html 的 WAV+HTML 多语言文件（polyglot）后，可以诱使其他用户访问该 URL。由于响应头 Content-Type 被设为 text/html，文件中嵌入的任意 <script> 代码会在受害者浏览器中以 Open WebUI 源域执行，导致敏感信息泄露、会话劫持等危害。该漏洞在 0.9.3 版本中通过改进文件存储和响应处理得到修复。建议用户立即升级到 0.9.3 或更高版本，并审查用户权限分配，限制非必要用户对 STT 功能的访问。