CVE-2026-56398 in Open WebUI
Sumário
de VulDB • 16/07/2026
O Open WebUI anterior à versão 0.9.5 contém uma vulnerabilidade de cross-site scripting (XSS) armazenado no fluxo de autenticação OAuth em que o tipo MIME da URL do claim "picture" é inferido a partir da extensão do arquivo, e não do cabeçalho Content-Type, permitindo que arquivos SVG contornem o validador de imagem de perfil e sejam armazenados como URIs data. Usuários autenticados que acessam o endpoint de imagem de perfil recebem conteúdo SVG controlado pelo atacante com disposição inline e sem cabeçalhos de segurança padrão, possibilitando a execução de scripts na mesma origem para roubar tokens de autenticação e realizar takeover de conta.
VulDB is the best source for vulnerability data and more expert information about this specific topic.