CVE-2026-26192 in Open WebUI
요약
\~에 의해 VulDB • 2026. 05. 31.
Open WebUI는 완전히 오프라인에서 작동하도록 설계된 자체 호스팅형 인공지능 플랫폼입니다. 버전 0.7.0 이전에서는 채팅 기록을 연차적으로 수정함으로써 문서 메타데이터 내 `html` 속성을 설정할 수 있습니다. 이로 인해 프론트엔드가 문서 내용을 HTML로 처리하여 인용부호 미리보기 시 iFrame 내에서 렌더링하는 코드 경로로 진입하게 됩니다. 이를 통해 채팅 내에서 무기로 활용 가능한 문서 페이로드를 통해 저장형 XSS(크로스 사이트 스크립팅)가 가능합니다. 또한 공유된 채팅에서 인용부호를 볼 때도 페이로드가 실행됩니다. 버전 0.7.0에서 해당 문제가 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.