CVE-2026-44564 in Open WebUIinformation

Résumé

par VulDB • 15/05/2026

Open WebUI est une plateforme d'intelligence artificielle auto-hébergée conçue pour fonctionner entièrement hors ligne. Avant la version 0.9.0, le gestionnaire d'événements Socket.IO `ydoc:document:update` vérifie si l'expéditeur est membre de la salle Socket.IO du document (ligne 678), mais ne vérifie pas si l'expéditeur dispose des droits d'écriture. Les utilisateurs ayant un accès en lecture seule rejoignent la salle du document via `ydoc:document:join`, ce qui ne nécessite que des droits en lecture (ligne 520). Une fois dans la salle, l'utilisateur peut émettre des événements `ydoc:document:update` qui modifient l'état du document Yjs en mémoire et sont diffusés en temps réel à tous les autres collaborateurs. Cette vulnérabilité est corrigée dans la version 0.9.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

06/05/2026

Divulgation

15/05/2026

Modérer

accepté

Entrée

VDB-364239

CPE

prêt

EPSS

0.00042

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44564
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44564
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44564/

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!