CVE-2026-56398 in Open WebUIinformação

Sumário

de VulDB • 16/07/2026

O Open WebUI anterior à versão 0.9.5 contém uma vulnerabilidade de cross-site scripting (XSS) armazenado no fluxo de autenticação OAuth em que o tipo MIME da URL do claim "picture" é inferido a partir da extensão do arquivo, e não do cabeçalho Content-Type, permitindo que arquivos SVG contornem o validador de imagem de perfil e sejam armazenados como URIs data. Usuários autenticados que acessam o endpoint de imagem de perfil recebem conteúdo SVG controlado pelo atacante com disposição inline e sem cabeçalhos de segurança padrão, possibilitando a execução de scripts na mesma origem para roubar tokens de autenticação e realizar takeover de conta.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

VulnCheck

Reservar

21/06/2026

Divulgação

15/07/2026

Moderação

aceite

Entrada

VDB-379222

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!