CVE-2026-45331 in Open WebUI
要約
〜によって VulDB • 2026年05月16日
Open WebUIは、完全にオフラインで動作するように設計されたセルフホスト型AIプラットフォームです。バージョン0.9.0より前では、backend/open_webui/retrieval/web/utils.py内のvalidate_url()関数がvalidators.ipv6(ip, private=True)を呼び出しますが、validatorsライブラリはIPv6に対してprivateキーワードを実装していません。この呼び出しはValidationErrorを発生させますが(これはブールコンテキストで偽値として扱われる)、その結果、すべてのIPv6アドレスがフィルタを通過してしまいます。さらに、IPv4マッピング済みIPv6アドレス(::ffff:10.0.0.1など)はIPv4チェックを完全に回避し、いくつかの予約済みIPv4範囲(0.0.0.0/8、100.64.0.0/10、192.0.0.0/24など)もブロックされていません。この脆弱性はバージョン0.9.0で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.