CVE-2026-56398 in Open WebUIالمعلومات

الملخص

بحسب VulDB • 15/07/2026

تحتوي Open WebUI قبل الإصدار 0.9.5 على ثغرة تخزين عبر مواقع متعددة (Stored Cross-Site Scripting - XSS) في تدفق المصادقة OAuth، حيث يتم استنتاج نوع MIME لـ URL مطالبة الصورة من امتداد الملف بدلاً من رأس Content-Type، مما يسمح للملفات SVG بتجاوز مدقق صور الملف الشخصي وتخزينها كعناوين بيانات (data URIs). يتلقى المستخدمون الموثقون الذين يزورون نقطة نهاية صورة الملف الشخصي محتوى SVG خاضعًا لسيطرة المهاجم مع تنسيق مضمن وعدم وجود رؤوس أمان افتراضية، مما يتيح تنفيذ البرامج النصية في نفس الأصل لسرقة رموز المصادقة وتحقيق الاستيلاء على الحساب.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

VulnCheck

حجز

21/06/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379222

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!