CVE-2026-45314 in Open WebUIinfo

Zusammenfassung

von VulDB • 16.05.2026

Open WebUI ist eine selbst gehostete KI-Plattform, die vollständig offline betrieben werden soll. Vor Version 0.9.3 akzeptiert der Webhook-Erstellungs-/Aktualisierungsprozess für Kanäle beliebige Werte für profile_image_url, einschließlich Payloads im Format data:image/svg+xml;base64,... Der Endpunkt für das Profilbild decodiert und liefert dieses SVG anschließend als image/svg+xml ohne Sanitization, wodurch angreiferkontrollierte Script-Handler (z. B. onload) ausgeführt werden können, wenn die Profilbild-URL im Browser geöffnet wird. Diese Schwachstelle wurde in Version 0.9.3 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

11.05.2026

Veröffentlichung

16.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364277

CPE

bereit

CWE

CWE-87 (bestätigt)

CVSS

6.1 (NVD)

EPSS

0.00010

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45314
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45314
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45314/

◂ Zurück Übersicht Weiter ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!