VDB-372287 · CVE-2026-54017 · GHSA-r2wg-2mcr-66rv

open-webui OpenWebUI 迄 0.9.5 Reverse Proxy terminals.py ディレクトリトラバーサル

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
5.9	$0-$5k	1.57

要約情報

このたび、open-webui OpenWebUI 迄 0.9.5において、重大に分類される脆弱性が見つかりました。影響を受けるのは、コンポーネント【Reverse Proxy Handler】のファイル【backend/open_webui/routers/terminals.py】に含まれる未知の関数です。未知の値で改ざんすることが、ディレクトリトラバーサルを突く攻撃に繋がります}。この脆弱性はCVE-2026-54017という名称で流通しています。攻撃はリモートで開始される可能性があります。影響を受けているコンポーネントのアップグレードを推奨します。

詳細情報

このたび、open-webui OpenWebUI 迄 0.9.5において、重大に分類される脆弱性が見つかりました。影響を受けるのは、コンポーネント【Reverse Proxy Handler】のファイル【backend/open_webui/routers/terminals.py】に含まれる未知の関数です。未知の値で改ざんすることが、ディレクトリトラバーサルを突く攻撃に繋がります}。 CWEを使用して問題を宣言すると、CWE-22 につながります。この弱点はに発表されました、GHSA-r2wg-2mcr-66rvとして。アドバイザリーは github.com にてダウンロード用に公開されています。

この脆弱性はCVE-2026-54017という名称で流通しています。 CVEが2026年06月11日に割り当てられました。攻撃はリモートで開始される可能性があります。テクニカルな情報があります。この脆弱性の普及度は平均未満です。エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、この問題に対して攻撃手法 T1006 を使用しました。

未定義に指定されています。

0.9.6にアップグレードすることで、本問題を解消できます。影響を受けているコンポーネントのアップグレードを推奨します。