CVE-2026-44561 in Open WebUI정보

요약

\~에 의해 VulDB • 2026. 05. 16.

Open WebUI는 완전히 오프라인에서 작동하도록 설계된 자체 호스팅형 인공지능 플랫폼입니다. 0.9.0 이전 버전에서는 `is_user_channel_member` 함수가 ChannelMember 행의 존재 여부만 확인하고 `is_active` 필드는 확인하지 않습니다. 사용자가 그룹 또는 DM 채널에서 비활성화되면(채널 소유자에 의해 제거되거나 자발적으로 탈퇴), 해당 사용자의 멤버십 행은 `is_active=False` 및 `status='left'` 상태로 남아 있습니다. 권한 확인이 이 필드를 무시하므로, 비활성화된 사용자는 직접 API 호출을 통해 채널에 대한 전체 읽기 및 쓰기 접근 권한을 유지합니다. 이 취약점은 0.9.0에서 수정되었습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

GitHub M

예약하다

2026. 05. 06.

공개

2026. 05. 16.

모더레이션

수락

항목

VDB-364306

CPE

준비됨

CWE

CWE-863 (확인됨)

CVSS

5.4 (CNA)

EPSS

0.00034

KEV

아니요

활동

매우 낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44561
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44561
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44561/

◂ 이전 개요 다음 ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!