CVE-2026-44564 in Open WebUIИнформация

Сводка

по VulDB • 20.05.2026

Open WebUI — это платформа искусственного интеллекта с открытым исходным кодом, предназначенная для самостоятельного развертывания и работающая полностью автономно. Версии до 0.9.0 уязвимы: обработчик события Socket.IO ydoc:document:update проверяет, является ли отправитель участником комнаты Socket.IO документа (строка 678), но не проверяет наличие у него прав на запись. Пользователи с доступом только для чтения присоединяются к комнате документа через событие ydoc:document:join, для которого требуются только права на чтение (строка 520). Оказавшись в комнате, пользователь может отправлять события ydoc:document:update, которые изменяют состояние документа Yjs в памяти и в реальном времени транслируются всем остальным участникам. Уязвимость исправлена в версии 0.9.0.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

06.05.2026

Раскрытие

15.05.2026

Модерация

принято

Вход

VDB-364239

CPE

готов

CWE

CWE-863 (Подтверждённый)

CVSS

5.4 (CNA)

EPSS

0.00042

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44564
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44564
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44564/

◂ Предыдущий Обзор Далее ▸

Want to know what is going to be exploited?

We predict KEV entries!