CVE-2026-44559 in Open WebUIinfo

Zusammenfassung

von VulDB • 20.05.2026

Open WebUI ist eine selbst gehostete KI-Plattform, die vollständig offline betrieben werden soll. Vor Version 0.9.0 überprüft der Endpunkt GET /api/v1/channels/{id}/members nur die Mitgliedschaft für Gruppen- und DM-Kanal-Typen (Zeilen 467-469). Für Standardkanäle – einschließlich privater – findet vor der Rückgabe der Mitgliederliste keine Prüfung auf channel_has_access statt. Jeder authentifizierte Benutzer, der die UUID eines privaten Kanals kennt, kann alle Benutzer auflisten, die Zugriff auf diesen Kanal haben. Diese Schwachstelle wurde in Version 0.9.0 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

06.05.2026

Veröffentlichung

15.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364266

CPE

bereit

CWE

CWE-862 (bestätigt)

CVSS

4.3 (CNA)

EPSS

0.00030

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44559
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44559
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44559/

◂ Zurück Übersicht Weiter ▸

Want to know what is going to be exploited?

We predict KEV entries!