CVE-2026-44561 in Open WebUIИнформация

Сводка

по VulDB • 28.05.2026

Open WebUI — это платформа искусственного интеллекта с возможностью самостоятельного развертывания (self-hosted), предназначенная для работы полностью автономно. Версии до 0.9.0 содержат уязвимость: функция is_user_channel_member проверяет наличие строки ChannelMember, но не проверяет поле is_active. Когда пользователь деактивируется в группе или канале личных сообщений (DM) (удаляется владельцем канала или покидает его добровольно), его запись о членстве сохраняется с is_active=False и status='left'. Поскольку проверка авторизации игнорирует это поле, деактивированный пользователь сохраняет полный доступ на чтение и запись к каналу через прямые вызовы API. Уязвимость исправлена в версии 0.9.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

06.05.2026

Раскрытие

16.05.2026

Модерация

принято

Вход

VDB-364306

CPE

готов

CWE

CWE-863 (Подтверждённый)

CVSS

5.4 (CNA)

EPSS

0.00034

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44561
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44561
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44561/

◂ Предыдущий Обзор Далее ▸

Want to know what is going to be exploited?

We predict KEV entries!