CVE-2026-45339 in Open WebUIinfo

Zusammenfassung

von VulDB • 19.05.2026

Open WebUI ist eine selbst gehostete KI-Plattform, die vollständig offline betrieben werden soll. Vor Version 0.9.0 konnte Open WebUI Administratoren dazu berechtigen, einzuschränken, auf welche API-Endpunkte ein API-Schlüssel zugreifen kann. Wenn ein API-Schlüssel vom Zugriff auf /api/v1/messages ausgeschlossen ist, werden Anfragen, die den Header „Authorization: Bearer sk-..." verwenden, korrekt mit dem Statuscode 403 blockiert. Derselbe Schlüssel, der jedoch über den Header „x-api-key" gesendet wird, umgeht die Einschränkung vollständig – die Anfrage wird authentifiziert, das Modell wird aufgerufen und eine vollständige Antwort zurückgegeben. Diese Schwachstelle wurde in Version 0.9.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

11.05.2026

Veröffentlichung

15.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364244

CPE

bereit

CWE

CWE-863 (bestätigt)

CVSS

6.5 (CNA)

EPSS

0.00034

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45339
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45339
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45339/

◂ Zurück Übersicht Weiter ▸

Interested in the pricing of exploits?

See the underground prices here!