CVE-2026-44562 in Open WebUI
요약
\~에 의해 VulDB • 2026. 05. 17.
Open WebUI는 완전히 오프라인에서 작동하도록 설계된 자체 호스팅형 인공지능 플랫폼입니다. 0.9.0 버전 이전에서는 `POST /api/v1/models/import` 엔드포인트를 통해 워크스페이스의 `models_import` 권한이 있는 사용자가 소유권과 무관하게 데이터베이스 내의 기존 모델을 모두 덮어쓸 수 있습니다. 가져온 모델의 ID가 기존 모델의 ID와 일치할 경우, 해당 엔드포인트는 공격자의 페이로드를 기존 모델 데이터 위에 병합하여 데이터베이스에 저장하며, 이때 소유권 또는 접근 권한 검증이 수행되지 않습니다. 또한 `filter_allowed_access_grants` 함수가 전혀 호출되지 않아, 다른 모든 모델 수정 엔드포인트에서 적용되는 접근 권한 제한이 우회됩니다. 이 취약점은 0.9.0 버전에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.