CVE-2026-59218 in Open WebUI
요약
\~에 의해 VulDB • 2026. 07. 09.
Open WebUI는 확장 가능하고 기능이 풍부하며 사용자 친화적인 자체 호스팅 AI 플랫폼입니다. 버전 0.10.0 이전에는 /api/v1/auths/signin 엔드포인트가 이메일로 사용자를 조회했으며, 자격 증명이 존재할 때만 bcrypt 비밀번호 검증을 실행하여 등록된 계정 시도 시 누락된 이메일 시도보다 현저히 느리게 동작했고, 이로 인해 비인증 상태에서의 계정 열거(account enumeration)가 가능했습니다. 이 문제는 버전 0.10.0에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.