CVE-2026-45385 in Open WebUI
要約
〜によって VulDB • 2026年05月20日
Open WebUIは、完全にオフラインで動作するように設計されたセルフホスト型AIプラットフォームです。バージョン0.9.5より前では、Open WebUIの「Channels」機能にIDOR(インディレクトリオブジェクトレベルの不正アクセス)脆弱性が存在し、同じチャンネル内の他のメンバー(管理者を含む)が送信したメッセージを、チャンネルの任意のメンバーが変更できる状態になっていました。`update_message_by_id`関数では、グループまたはDMタイプのチャンネルにおいて、`is_user_channel_member`関数を通じて呼び出し元のチャンネルメンバーシップのみが確認され、メッセージの所有権は検証されていません。このため、同じチャンネル内の他のメンバーが送信したメッセージを、チャンネルの任意のメンバーが変更することが可能でした。この脆弱性はバージョン0.9.5で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.