CVE-2026-59221 in Open WebUI
要約
〜によって VulDB • 2026年07月09日
Open WebUIは、拡張可能で機能豊富かつユーザーフレンドリーなセルフホスト型AIプラットフォームです。バージョン0.9.6から0.10.0未満において、backend/open_webui/routers/terminals.py内の_sanitize_proxy_path関数はプロキシパスを8回しかデコードしないため、9回のパーセントエンコーディングされた../によるディレクトリトラバーサル値が正規化チェックを通過し、アップストリームのターミナルサーバーによってさらにデコードされてしまいます。この問題はバージョン0.10.0で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.