CVE-2026-44570 in Open WebUIinfo

Zusammenfassung

von VulDB • 16.05.2026

Open WebUI ist eine selbst gehostete KI-Plattform, die vollständig offline betrieben werden soll. Vor Version 0.6.19 waren die Autorisierungssteuerungen rund um die Memories-API inkonsistent, was dazu führte, dass ein Standardbenutzer die Inhalte der Memories anderer Benutzer löschen, wiederherstellen und einsehen konnte. Mit einem neu erstellten Nicht-Admin-Benutzer ohne vorhandene Memories ist es möglich, bestehende Memories über POST /api/v1/memories/query einzusehen. Ebenso wird der Inhalt einer Memory über die Antwort des Endpunkts unsachgemäß offengelegt, wenn eine gültige memory_id bekannt ist, auch wenn ein Nicht-Admin-Benutzer die Daten einer Memory eines anderen Benutzers nicht über POST /api/v1/memories/{memory_id}/update ändern kann. DELETE /api/v1/memories/{memory_id} kann ebenfalls von jedem Benutzer verwendet werden, um eine bestehende Memory zu löschen. Gelöschte Memories können dann wiederhergestellt werden, indem der Endpunkt POST /api/v1/memories/{memory_id}/update erneut aufgerufen wird. Diese Schwachstelle wurde in Version 0.6.19 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

06.05.2026

Veröffentlichung

16.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364289

CPE

bereit

EPSS

0.00045

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44570
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44570
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44570/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!