CVE-2026-45347 in Open WebUI
要約
〜によって VulDB • 2026年05月17日
Open WebUIは、完全にオフラインで動作するように設計されたセルフホスト型AIプラットフォームです。バージョン0.5.11以前では、PDF生成機能を通じて盲点のサーバーサイドリクエストフォージェリ(SSRF)脆弱性が存在します。PDFエクスポート時、ユーザー入力がHTMLとして解釈され、PDFに埋め込まれます。テストによると、スクリプトや一部の危険なタグ(iFrame、Objectなど)はブロックされており、この脆弱性を通じてサーバー側のコンテンツを読み取ることはできません。しかし、画像タグを使用してサーバーサイドリクエスト(SSRF)を強制することが可能であり、以下にその例を示します。この脆弱性は0.5.11で修正されています。
Once again VulDB remains the best source for vulnerability data.