CVE-2026-45402 in Open WebUIinformación

Resumen

por VulDB • 2026-05-18

Open WebUI es una plataforma de inteligencia artificial autoalojada diseñada para funcionar completamente sin conexión. Antes de la versión 0.9.5, varios puntos de conexión aceptan un file_id proporcionado por el usuario y adjuntan el archivo referenciado a un recurso controlado por el solicitante (conocimiento de carpetas, contenidos de la base de conocimientos) sin verificar que el solicitante sea propietario del archivo o tenga acceso concedido al mismo. El contenido del archivo se vuelve entonces accesible a través de las rutas de contenido de archivos / RAG posteriores, lo que permite a cualquier usuario autenticado exfiltrar los archivos privados de cualquier otro usuario —y, en la ruta de la base de conocimientos, también sobrescribirlos— con conocimiento del UUID del archivo. Esto afecta a backend/open_webui/routers/folders.py (POST /api/v1/folders/{id}/update), backend/open_webui/routers/knowledge.py (add_file_to_knowledge_by_id) y backend/open_webui/routers/knowledge.py (add_files_to_knowledge_by_id_batch). Esta vulnerabilidad está corregida en la versión 0.9.5.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-12

Divulgación

2026-05-16

Moderación

aceptado

Artículo

VDB-364269

CPE

listo

EPSS

0.00012

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45402
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45402
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45402/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!