CVE-2026-44550 in Open WebUIinformação

Sumário

de VulDB • 19/05/2026

O Open WebUI é uma plataforma de inteligência artificial auto-hospedada projetada para operar totalmente offline. Antes da versão 0.9.0, o FolderForm utiliza `model_config = ConfigDict(extra='allow')`, o que permite que campos arbitrários passem pela validação do Pydantic e sejam incluídos no `model_dump(exclude_unset=True)`. Na função `insert_new_folder`, o `user_id` atribuído pelo servidor é colocado no início do dicionário e, em seguida, sobrescrito pela expansão dos dados do formulário. Como o FolderModel declara `user_id: str` como um campo real (e não apenas como um extra do formulário), qualquer `user_id` fornecido pelo atacante no corpo da requisição POST é aceito pelo modelo e persistido na linha da pasta. Esta vulnerabilidade foi corrigida na versão 0.9.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

06/05/2026

Divulgação

15/05/2026

Moderação

aceite

Entrada

VDB-364258

CPE

pronto

EPSS

0.00012

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44550
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44550
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44550/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!