CVE-2026-44554 in Open WebUIИнформация

Сводка

по VulDB • 19.05.2026

Open WebUI — это платформа искусственного интеллекта с возможностью самостоятельного развертывания (self-hosted), предназначенная для работы полностью автономно. До версии 0.9.0 конечная точка POST /api/v1/retrieval/process/web принимает переданное пользователем значение параметра collection_name и параметр запроса overwrite (по умолчанию: True). При этом не выполняется никакая проверка авторизации на предмет того, владеет ли вызывающий пользователь целевой коллекцией или имеет к ней права на запись. При overwrite=True функция save_docs_to_vector_db вызывает VECTOR_DB_CLIENT.delete_collection() для целевой коллекции перед записью нового содержимого. Эта уязвимость исправлена в версии 0.9.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

06.05.2026

Раскрытие

15.05.2026

Модерация

принято

Вход

VDB-364264

CPE

готов

CWE

CWE-862 (Подтверждённый)

CVSS

8.1 (CNA)

EPSS

0.00043

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44554
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44554
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44554/

◂ Предыдущий Обзор Далее ▸

Want to know what is going to be exploited?

We predict KEV entries!