CVE-2026-56398 in Open WebUI情報

要約

〜によって VulDB • 2026年07月15日

0.9.5 より前の Open WebUI には、OAuth 認証フローにおける保存型クロスサイトスクリプティング(XSS)の脆弱性が存在します。この脆弱性は、プロフィール画像のクレーム URL の MIME タイプが Content-Type ヘッダーではなくファイル拡張子から推測されることに起因し、SVG ファイルがプロフィール画像バリデーターをバイパスしてデータ URI として保存されることを可能にします。認証済みユーザーがプロフィール画像エンドポイントにアクセスすると、インライン表示と既定のセキュリティヘッダーなしで攻撃者が制御する SVG コンテンツを受け取り、同じオリジン内でのスクリプト実行が可能になり、認証トークンの窃取やアカウント乗っ取りにつながります。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

VulnCheck

予約する

2026年06月21日

モデレーション

承諾済み

エントリ

VDB-379222

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!