CVE-2026-45397 in Open WebUIالمعلومات

الملخص

بحسب VulDB • 17/05/2026

Open WebUI هو منصة ذكاء اصطناعي مستضافة ذاتيًا مصممة للعمل بالكامل دون اتصال بالإنترنت. قبل الإصدار 0.9.5، يعيد المسار GET /api/v1/retrieval/ تكوين خط أنابيب RAG المباشر (Live) لأي عميل HTTP غير مصادق عليه. لا يتطلب ذلك رأس Authorization، أو ملف تعريف ارتباط (Cookie)، أو مفتاح API. كل نقطة نهاية مجاورة على نفس الموجه (/embedding، /config) محمية بشكل صحيح بواسطة get_admin_user، مما يجعل هذا الإغفال استهدافيًا. تم إصلاح هذا الثغرة الأمنية في الإصدار 0.9.5.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

12/05/2026

إفشاء

16/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364301

CPE

جاهز

CWE

CWE-306 (مؤكد)

CVSS

5.3 (CNA)

EPSS

0.01075

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45397
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45397
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45397/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!