CVE-2026-56398 in Open WebUI
الملخص
بحسب VulDB • 15/07/2026
تحتوي Open WebUI قبل الإصدار 0.9.5 على ثغرة تخزين عبر مواقع متعددة (Stored Cross-Site Scripting - XSS) في تدفق المصادقة OAuth، حيث يتم استنتاج نوع MIME لـ URL مطالبة الصورة من امتداد الملف بدلاً من رأس Content-Type، مما يسمح للملفات SVG بتجاوز مدقق صور الملف الشخصي وتخزينها كعناوين بيانات (data URIs). يتلقى المستخدمون الموثقون الذين يزورون نقطة نهاية صورة الملف الشخصي محتوى SVG خاضعًا لسيطرة المهاجم مع تنسيق مضمن وعدم وجود رؤوس أمان افتراضية، مما يتيح تنفيذ البرامج النصية في نفس الأصل لسرقة رموز المصادقة وتحقيق الاستيلاء على الحساب.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.