CVE-2026-44554 in Open WebUIthông tin

Tóm tắt

Bởi VulDB • 16/05/2026

Open WebUI là một nền tảng trí tuệ nhân tạo tự lưu trữ, được thiết kế để hoạt động hoàn toàn ngoại tuyến. Trước phiên bản 0.9.0, điểm cuối POST /api/v1/retrieval/process/web chấp nhận tham số collection_name do người dùng cung cấp và tham số truy vấn overwrite (mặc định: True). Hệ thống không thực hiện bất kỳ kiểm tra ủy quyền nào để xác định xem người dùng gọi có sở hữu hoặc có quyền ghi đối với bộ sưu tập mục tiêu hay không. Khi overwrite=True, hàm save_docs_to_vector_db sẽ gọi VECTOR_DB_CLIENT.delete_collection() trên bộ sưu tập mục tiêu trước khi ghi nội dung mới. Lỗ hổng này đã được khắc phục trong phiên bản 0.9.0.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

GitHub M

Đặt trước

06/05/2026

Tiết lộ

15/05/2026

Kiểm duyệt

được chấp nhận

mục

VDB-364264

CPE

sẵn sàng

CWE

CWE-862 (Đã xác nhận)

CVSS

8.1 (CNA)

EPSS

0.00043

KEV

không

Các hoạt động

rất thấp

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44554
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44554
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44554/

◂ Trước Tổng Quan Tiếp theo ▸

Interested in the pricing of exploits?

See the underground prices here!