CVE-2026-44569 in Open WebUI
要約
〜によって VulDB • 2026年05月17日
Open WebUIは、完全にオフラインで動作するように設計されたセルフホスト型AIプラットフォームです。バージョン0.6.19以前には、チャネルメッセージ管理システムにIDOR(インダイレクトオブジェクト参照)脆弱性が存在し、認証済みユーザーが読み取りアクセス権を持つチャネル内の任意のメッセージを変更または削除できるようになります。この脆弱性は、チャネルレベルの認可を実装しているものの、メッセージの所有権検証を完全に欠いているメッセージ更新および削除エンドポイントに存在します。フロントエンドでは所有権チェックが正しく実装されており、メッセージの所有者または管理者に対してのみ編集/削除ボタンが表示されますが、バックエンドAPIはこれらの保護をバイパスし、チャネルアクセス権限のみを検証して、要求元のユーザーが対象メッセージの所有者であることを確認していません。これにより、攻撃者がAPIを直接呼び出して他のユーザーのメッセージを変更できるクライアントサイドのセキュリティ制御バイパスが生じます。この脆弱性は0.6.19で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.