CVE-2026-45314 in Open WebUIinformación

Resumen

por VulDB • 2026-05-16

Open WebUI es una plataforma de inteligencia artificial autoalojada diseñada para funcionar completamente sin conexión. Antes de la versión 0.9.3, el flujo de creación/actualización de webhooks de canal acepta valores arbitrarios para profile_image_url, incluidas cargas útiles como data:image/svg+xml;base64,... El endpoint de la imagen de perfil luego decodifica y sirve este SVG como image/svg+xml sin sanitización, lo que permite que los controladores de scripts controlados por el atacante (por ejemplo, onload) se ejecuten cuando se abre la URL de la imagen de perfil en el navegador. Esta vulnerabilidad se corrige en la versión 0.9.3.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-11

Divulgación

2026-05-16

Moderación

aceptado

Artículo

VDB-364277

CPE

listo

CWE

CWE-87 (confirmado)

CVSS

6.1 (NVD)

EPSS

0.00010

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45314
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45314
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45314/

◂ Anterior Visión De Conjunto Próximo ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!