CVE-2026-45398 in Open WebUI
要約
〜によって VulDB • 2026年05月29日
Open WebUIは、完全にオフラインで動作するように設計されたセルフホスト型AIプラットフォームです。バージョン0.9.5より前では、_validate_collection_access()関数はユーザーメモリ-*およびファイル-*というコレクション名のプレフィックスをチェックしますが、コレクション名として生のUUIDを使用するナレッジベースコレクションはチェックされません。プライベートなナレッジベースのUUIDを知っている認証済みユーザーであれば、ナレッジAPIがそのユーザーのアクセスを正しく拒否しているにもかかわらず、検索クエリエンドポイントを通じてそのコンテンツを読み取ることができます。この欠陥は、/process/text、/process/file、/process/files/batch、/process/web、/process/youtubeなどの検索書き込みエンドポイントにも影響し、攻撃者が他のユーザーのナレッジベースにコンテンツを注入したり上書きしたりすることを可能にします。この脆弱性は0.9.5で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.