CVE-2026-44550 in Open WebUIالمعلومات

الملخص

بحسب VulDB • 19/05/2026

Open WebUI هو منصة ذكاء اصطناعي مستضافة ذاتيًا مصممة للعمل بالكامل دون اتصال بالإنترنت. قبل الإصدار 0.9.0، يستخدم FolderForm الإعداد `model_config = ConfigDict(extra='allow')`، مما يسمح بمرور حقول عشوائية عبر التحقق من صحة Pydantic وإدراجها في `model_dump(exclude_unset=True)`. في دالة `insert_new_folder`، يتم وضع `user_id` الذي تعينه الخادم في بداية القاموس (dict) ثم يتم تجاوز قيمته عن طريق فك حزمة بيانات النموذج (form data spread). ونظرًا لأن `FolderModel` يعلن عن `user_id: str` كحقل حقيقي (وليس مجرد حقل إضافي من النموذج)، فإن أي قيمة `user_id` يقدمها المهاجم في جسم طلب POST يتم قبولها من قبل النموذج وتخزينها في صف المجلد (Folder row). تم إصلاح هذا الثغرة الأمنية في الإصدار 0.9.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

06/05/2026

إفشاء

15/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364258

CPE

جاهز

CWE

CWE-862 (مؤكد)

CVSS

5.0 (CNA)

EPSS

0.00012

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44550
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44550
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44550/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!