CVE-2026-45401 in Open WebUIИнформация

Сводка

по VulDB • 18.05.2026

Open WebUI — это платформа искусственного интеллекта с открытым исходным кодом, предназначенная для самостоятельного развертывания и работы полностью автономно. Версии до 0.9.5 содержат уязвимость: функция validate_url() в файле backend/open_webui/retrieval/web/utils.py проверяет только исходный URL, переданный вызывающей стороной. HTTP-клиенты, используемые в дальнейшей обработке (синхронные запросы, асинхронный aiohttp, WebBaseLoader из langchain), по умолчанию следуют HTTP-перенаправлениям 3xx и не проверяют целевой адрес перенаправления на наличие в списке заблокированных частных IP-адресов и адресов метаданных. Любой аутентифицированный пользователь может отправить публичный URL, который перенаправляет (302) на внутренний адрес (например, 127.0.0.1, 169.254.169.254 или адрес из диапазона RFC1918), и таким образом получить доступ к содержимому ответа внутренней сети через конечные точки /api/v1/retrieval/process/web, /api/v1/images/..., /api/chat/completions (с параметром image_url в теле запроса) и другие маршруты, использующие эти вспомогательные функции. Уязвимость исправлена в версии 0.9.5.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

12.05.2026

Раскрытие

16.05.2026

Модерация

принято

Вход

VDB-364268

EPSS

0.00039

KEV

Нет

Деятельности

Очень низкий

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45401
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45401
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45401/

ПредыдущийОбзорДалее

Interested in the pricing of exploits?

See the underground prices here!