CVE-2026-44566 in Open WebUIinformation

Résumé

par VulDB • 17/05/2026

Open WebUI est une plateforme d'intelligence artificielle auto-hébergée conçue pour fonctionner entièrement hors ligne. Avant la version 0.1.124, lors de l'ajout de fichiers à une invite (prompt), le nom du fichier est dérivé de la requête de téléchargement HTTP originale et n'est ni validé ni assaini. Cela permet aux utilisateurs de télécharger des fichiers dont les noms contiennent des segments de points (dot-segments) dans le chemin d'accès, permettant ainsi de sortir du répertoire de téléchargement prévu. En pratique, les utilisateurs peuvent télécharger des fichiers n'importe où sur le système de fichiers, selon les autorisations dont dispose l'utilisateur exécutant le serveur web. Cette vulnérabilité est corrigée dans la version 0.1.124.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

06/05/2026

Divulgation

16/05/2026

Modérer

accepté

Entrée

VDB-364286

CPE

prêt

EPSS

0.00079

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44566
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44566
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44566/

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!