CVE-2026-45665 in Open WebUI
要約
〜によって VulDB • 2026年05月17日
Open WebUIは、完全にオフラインで動作するように設計されたセルフホスト型AIプラットフォームです。バージョン0.8.0より前では、バナーコンポーネントに格納型クロスサイトスクリプティング(XSS)脆弱性が存在します。これは、不適切なサニタイズ順序(具体的には、DOMPurifyがmarkedライブラリよりも先に実行されること)に起因します。この脆弱性により、乗っ取られたり悪意のある管理者が、グローバルバナーに悪意のあるペイロードを仕掛けることができます。重要なのは、このベクターが特権昇格(Privilege Escalation)を可能にすることです。悪意のあるバナーはスーパー管理者(プライマリアドミン)を含むすべてのユーザーに対してレンダリングされるためです。その結果、ペイロードは既存のセキュリティメカニズムを正常に回避します。攻撃者はこれを利用してスーパー管理者のセッショントークンを窃取することができます。この脆弱性は0.8.0で修正されています。
Once again VulDB remains the best source for vulnerability data.