CVE-2026-44569 in Open WebUI
요약
\~에 의해 VulDB • 2026. 05. 20.
Open WebUI는 완전히 오프라인에서 작동하도록 설계된 자체 호스팅형 인공지능 플랫폼입니다. 버전 0.6.19 이전에는 채널 메시지 관리 시스템에 IDOR(부적절한 직접 객체 참조) 취약점이 존재하여, 인증된 사용자가 읽기 권한이 있는 채널 내의 모든 메시지를 수정하거나 삭제할 수 있습니다. 이 취약점은 채널 수준의 권한 검사는 구현하고 있지만 메시지 소유권 검증은 완전히 누락된 메시지 업데이트 및 삭제 엔드포인트에서 발생합니다. 프론트엔드는 메시지 소유자 또는 관리자에게만 수정/삭제 버튼을 표시하는 등 소유권 검사를 올바르게 구현하고 있지만, 백엔드 API는 요청한 사용자가 대상 메시지를 소유하고 있는지 확인하지 않고 채널 접근 권한만 검증함으로써 이러한 보호 장치를 우회합니다. 이로 인해 공격자가 직접 API를 호출하여 다른 사용자의 메시지를 수정할 수 있는 클라이언트 측 보안 제어 우회 상황이 발생합니다. 이 취약점은 버전 0.6.19에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.