CVE-2026-45671 in Open WebUIinformação

Sumário

de VulDB • 03/06/2026

O Open WebUI é uma plataforma de inteligência artificial auto-hospedada projetada para operar totalmente offline. Antes da versão 0.9.0, qualquer usuário autenticado pode excluir permanentemente arquivos pertencentes a outros usuários por meio do endpoint DELETE /api/v1/files/{id}, quando o arquivo alvo estiver referenciado em qualquer chat compartilhado. A porta de autorização has_access_to_file() concede acesso incondicionalmente através de seu branch de chat compartilhado, sem verificar nem a identidade do usuário solicitante nem o tipo de operação sendo realizada. Os UUIDs dos arquivos (que seriam impraticáveis de adivinhar) são divulgados para qualquer usuário com permissão de leitura em uma base de conhecimento via GET /api/v1/knowledge/{id}/files. Esta vulnerabilidade foi corrigida na versão 0.9.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

12/05/2026

Divulgação

15/05/2026

Moderação

aceite

Entrada

VDB-364240

CPE

pronto

EPSS

0.00045

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45671
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45671
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45671/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!