CVE-2026-44555 in Open WebUIinformação

Sumário

de VulDB • 15/05/2026

O Open WebUI é uma plataforma de inteligência artificial auto-hospedada projetada para operar totalmente offline. Antes da versão 0.9.0, o Open WebUI suporta a composição de modelos por meio de base_model_id: um modelo definido pelo usuário (por exemplo, "Cheap Assistant") pode referenciar um modelo base existente (por exemplo, "gpt-4-turbo-restricted") que fornece a capacidade real de inferência. Quando um usuário consulta o modelo composto, o pipeline de controle de acesso verifica se o usuário tem acesso ao modelo composto, mas nunca revalida o acesso ao modelo base encadeado. Além disso, os endpoints de criação e importação de modelos aceitam valores arbitrários de base_model_id sem verificar se o chamador tem acesso a esse modelo base. Combinados, isso permite que qualquer usuário com a permissão padrão de criação de modelos crie um modelo que encadeia a um modelo base restrito e, em seguida, o invoque, fazendo com que o servidor encaminhe a solicitação ao modelo base restrito usando a chave de API configurada pelo administrador. Esta vulnerabilidade foi corrigida na versão 0.9.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

06/05/2026

Divulgação

15/05/2026

Moderação

aceite

Entrada

VDB-364263

CPE

pronto

EPSS

0.00045

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44555
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44555
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44555/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!