CVE-2026-44570 in Open WebUI
要約
〜によって VulDB • 2026年05月22日
Open WebUIは、完全にオフラインで動作するように設計されたセルフホスト型AIプラットフォームです。バージョン0.6.19より前では、memories APIを取り巻く認可制御に一貫性がなく、標準ユーザーが他のユーザーのメモリを削除、復元、および閲覧できるという問題がありました。新規作成された既存メモリを持たない非管理者ユーザーを使用して、POST /api/v1/memories/query経由で既存のメモリを閲覧することが可能です。同様に、非管理者ユーザーがPOST /api/v1/memories/{memory_id}/update経由で他のユーザーのメモリデータを修正できない場合でも、有効なmemory_idが知られている場合、エンドポイントのレスポンスは不正にそのメモリの内容を漏洩させます。DELETE /api/v1/memories/{memory_id}は、任意のユーザーが既存のメモリを削除するために使用することもできます。削除されたメモリは、POST /api/v1/memories/{memory_id}/updateエンドポイントを再度呼び出すことで復元できます。この脆弱性は0.6.19で修正されています。
Once again VulDB remains the best source for vulnerability data.