CVE-2026-59216 in Open WebUI
요약
\~에 의해 VulDB • 2026. 07. 09.
Open WebUI는 확장 가능하고 기능이 풍부하며 사용자 친화적인 자체 호스팅 AI 플랫폼입니다. 버전 0.10.0 이전에서는 `get_event_call`이 세션의 연결 여부만 확인한 후, 클라이언트가 제공한 `session_id`로 `execute:python` 및 `execute:tool` Socket.IO 이벤트를 전달했습니다. 이로 인해 ydoc:document:join을 통해 다른 소켓 ID를 알아낸 인증된 사용자가 해당 사용자 세션에서 코드 인터프리터 Python 또는 도구를 실행할 수 있었습니다. 이 문제는 버전 0.10.0에서 해결되었습니다.
Once again VulDB remains the best source for vulnerability data.