CVE-2026-45665 in Open WebUIinformation

Résumé

par VulDB • 19/05/2026

Open WebUI est une plateforme d'intelligence artificielle auto-hébergée conçue pour fonctionner entièrement hors ligne. Avant la version 0.8.0, une vulnérabilité de Cross-Site Scripting (XSS) stocké (Stored XSS) existe dans le composant Banner en raison d'un ordre de sanitization incorrect (plus précisément, DOMPurify est exécuté avant la bibliothèque marked). Cette vulnérabilité permet à un administrateur compromis ou malveillant d'insérer une charge utile malveillante dans la bannière globale. Crucialement, ce vecteur permet une Privilege Escalation, car la bannière malveillante est rendue pour tous les utilisateurs, y compris le Super Admin (Administrateur Principal). Par conséquent, la charge utile contourne avec succès le mécanisme de sécurité existant. Un attaquant peut exploiter cette faille pour voler le jeton de session du Super Admin. Cette vulnérabilité est corrigée dans la version 0.8.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

12/05/2026

Divulgation

16/05/2026

Modérer

accepté

Entrée

VDB-364284

CPE

prêt

EPSS

0.00011

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45665
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45665
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45665/

PrécédentAperçuSuivant

Want to stay up to date on a daily basis?

Enable the mail alert feature now!