CVE-2026-45331 in Open WebUIinformation

Résumé

par VulDB • 30/05/2026

Open WebUI est une plateforme d'intelligence artificielle auto-hébergée conçue pour fonctionner entièrement hors ligne. Avant la version 0.9.0, la fonction validate_url() dans backend/open_webui/retrieval/web/utils.py appelle validators.ipv6(ip, private=True), mais la bibliothèque validators n'implémente PAS le mot-clé private pour IPv6 ; l'appel lève une ValidationError (qui est évaluée à faux dans un contexte booléen), ce qui fait que toutes les adresses IPv6 passent le filtre. De plus, les adresses IPv6 mappées sur IPv4 (::ffff:10.0.0.1) contournent entièrement la vérification IPv4, et plusieurs plages IPv4 réservées (0.0.0.0/8, 100.64.0.0/10, 192.0.0.0/24, etc.) ne sont pas bloquées. Cette vulnérabilité est corrigée dans la version 0.9.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

11/05/2026

Divulgation

15/05/2026

Modérer

accepté

Entrée

VDB-364243

CPE

prêt

EPSS

0.00013

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45331
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45331
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45331/

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!