CVE-2026-59219 in Open WebUI
요약
\~에 의해 VulDB • 2026. 07. 09.
Open WebUI는 확장 가능하고 기능이 풍부하며 사용자 친화적인 자체 호스팅 AI 플랫폼입니다. Redis가 구성된 환경에서 버전 0.9.0부터 0.10.0 미만까지, Socket.IO 연결, 사용자 참여, 채널 참가, 노트 참가 및 터미널 웹소켓의 첫 번째 메시지 인증 시 `decode_token`이 사용되었으며, 이는 Redis 기반의 토큰 무효화 확인을 수행하는 `is_valid_token` 함수를 사용하지 않았습니다. 그 결과, 이미 무효화된 JWT(JavaScript Web Token)가 실시간 연결에 대해 계속 인증될 수 있었습니다. 이 문제는 버전 0.10.0에서 해결되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.