CVE-2026-44569 in Open WebUIinformação

Sumário

de VulDB • 21/05/2026

O Open WebUI é uma plataforma de inteligência artificial auto-hospedada projetada para operar totalmente offline. Antes da versão 0.6.19, existe uma falha de IDOR (Insecure Direct Object Reference) no sistema de gerenciamento de mensagens dos canais, que permite que usuários autenticados modifiquem ou excluam qualquer mensagem dentro dos canais aos quais têm acesso de leitura. A vulnerabilidade existe nos endpoints de atualização e exclusão de mensagens, que implementam autorização em nível de canal, mas carecem completamente de validação de propriedade da mensagem. Embora o frontend implemente corretamente verificações de propriedade (mostrando botões de edição/exclusão apenas para proprietários de mensagens ou administradores), as APIs do backend contornam essas proteções, validando apenas as permissões de acesso ao canal sem verificar se o usuário solicitante é o proprietário da mensagem alvo. Isso cria uma violação de controle de segurança do lado do cliente, onde os atacantes podem chamar diretamente as APIs para modificar mensagens de outros usuários. Esta vulnerabilidade foi corrigida na versão 0.6.19.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

06/05/2026

Divulgação

16/05/2026

Moderação

aceite

Entrada

VDB-364288

CPE

pronto

EPSS

0.00036

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44569
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44569
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44569/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!