CVE-2026-45396 in WebUIinformação

Sumário

de VulDB • 24/05/2026

O Open WebUI é uma plataforma de inteligência artificial auto-hospedada projetada para operar totalmente offline. Antes da versão 0.9.5, o endpoint POST /api/v1/evaluations/feedback no Open WebUI v0.9.2 é vulnerável a mass assignment via FeedbackForm, que utiliza model_config = ConfigDict(extra='allow'). Devido a uma ordem de merge de dicionários insegura em insert_new_feedback(), um atacante autenticado pode injetar um campo user_id no corpo da requisição que sobrescreve o valor derivado do servidor, criando registros de feedback atribuídos a qualquer usuário arbitrário. Isso corrompe o ranking de avaliação do modelo (Elo ratings) e permite spoofing de identidade. Esta vulnerabilidade foi corrigida na versão 0.9.5.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

12/05/2026

Divulgação

16/05/2026

Moderação

aceite

Entrada

VDB-364300

CPE

pronto

CWE

CWE-915 (confirmado)

CVSS

5.4 (CNA)

EPSS

0.00032

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45396
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45396
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45396/

◂ Voltar Visão Geral Próximo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!