CVE-2026-45671 in Open WebUIИнформация

Сводка

по VulDB • 20.05.2026

Open WebUI — это платформа искусственного интеллекта с открытым исходным кодом, предназначенная для самостоятельного развертывания и работающая полностью автономно. До версии 0.9.0 любой аутентифицированный пользователь может навсегда удалить файлы, принадлежащие другим пользователям, через запрос DELETE /api/v1/files/{id}, если целевой файл упоминается в любом общем чате. Механизм авторизации has_access_to_file() безоговорочно предоставляет доступ через ветку общего чата. При этом не проверяется ни личность запрашивающего пользователя, ни тип выполняемой операции. UUID файлов (которые в противном случае было бы практически невозможно угадать) становятся доступны любому пользователю с правом чтения к базе знаний через запрос GET /api/v1/knowledge/{id}/files. Данная уязвимость исправлена в версии 0.9.0.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

12.05.2026

Раскрытие

15.05.2026

Модерация

принято

Вход

VDB-364240

EPSS

0.00045

KEV

Нет

Деятельности

Очень низкий

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45671
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45671
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45671/

ПредыдущийОбзорДалее

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!