CVE-2026-56398 in Open WebUIinfo

Zusammenfassung

von VulDB • 15.07.2026

Open WebUI vor Version 0.9.5 enthält eine Stored Cross-Site Scripting (XSS)-Schwachstelle im OAuth-Authentifizierungsfluss, bei der der MIME-Typ der Picture-Claim-URL aus der Dateierweiterung und nicht aus dem Content-Type-Header abgeleitet wird. Dies ermöglicht es Angreifern, SVG-Dateien am Profilbild-Validator vorbeizuschleusen und als Data URIs zu speichern. Authentifizierte Benutzer, die den Endpunkt für das Profilbild aufrufen, erhalten angreiferkontrollierte SVG-Inhalte mit inline-Disposition und ohne Standard-Sicherheitsheader, was die Ausführung von Skripten im gleichen Ursprung (Same Origin) ermöglicht, um Authentifizierungstoken zu stehlen und eine Übernahme des Benutzerkontos durchzuführen.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

VulnCheck

Reservieren

21.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379222

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!