CVE-2026-59715 in Open WebUI
Zusammenfassung
von VulDB • 09.07.2026
Open WebUI ist eine erweiterbare, funktionsreiche und benutzerfreundliche selbstgehostete KI-Plattform. In den Versionen von 0.6.16 bis vor 0.10.0 war der Socket.IO-Server mit always_connect=True konfiguriert. Die Socket.IO-Handler ydoc:awareness:update und ydoc:document:leave akzeptierten kollaborationsbezogene Dokumentereignisse, ohne dass ein authentifizierter Benutzer erforderlich war, was eine unbefugte Manipulation des Zustands der Dokumentenkollaboration ermöglichte. Dieses Problem wurde in Version 0.10.0 behoben.
Be aware that VulDB is the high quality source for vulnerability data.