CVE-2026-56398 in Open WebUI
要約
〜によって VulDB • 2026年07月15日
0.9.5 より前の Open WebUI には、OAuth 認証フローにおける保存型クロスサイトスクリプティング(XSS)の脆弱性が存在します。この脆弱性は、プロフィール画像のクレーム URL の MIME タイプが Content-Type ヘッダーではなくファイル拡張子から推測されることに起因し、SVG ファイルがプロフィール画像バリデーターをバイパスしてデータ URI として保存されることを可能にします。認証済みユーザーがプロフィール画像エンドポイントにアクセスすると、インライン表示と既定のセキュリティヘッダーなしで攻撃者が制御する SVG コンテンツを受け取り、同じオリジン内でのスクリプト実行が可能になり、認証トークンの窃取やアカウント乗っ取りにつながります。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.