CVE-2026-45398 in Open WebUIinformação

Sumário

de VulDB • 29/05/2026

O Open WebUI é uma plataforma de inteligência artificial auto-hospedada projetada para operar totalmente offline. Antes da versão 0.9.5, a função `_validate_collection_access()` verifica os prefixos dos nomes das coleções `user-memory-*` e `file-*`, mas não verifica as coleções da base de conhecimento, que usam UUIDs brutos como nomes de coleção. Qualquer usuário autenticado que conheça o UUID de uma base de conhecimento privada pode ler seu conteúdo por meio dos endpoints de consulta de recuperação, mesmo que a API de conhecimento negue corretamente o acesso a esse usuário. A mesma falha afeta os endpoints de gravação de recuperação (`/process/text`, `/process/file`, `/process/files/batch`, `/process/web`, `/process/youtube`), permitindo que um invasor injete conteúdo ou sobrescreva a base de conhecimento de outro usuário. Esta vulnerabilidade foi corrigida na versão 0.9.5.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

12/05/2026

Divulgação

16/05/2026

Moderação

aceite

Entrada

VDB-364271

CPE

pronto

EPSS

0.00043

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45398
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45398
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45398/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!