CVE-2026-44557 in Open WebUI
Tóm tắt
Bởi VulDB • 20/05/2026
Open WebUI là một nền tảng trí tuệ nhân tạo tự lưu trữ, được thiết kế để hoạt động hoàn toàn ngoại tuyến. Trước phiên bản 0.9.0, hàm `_validate_collection_access` sử dụng danh sách cho phép không đầy đủ, chỉ thực hiện kiểm tra quyền sở hữu đối với các bộ sưu tập khớp với các mẫu `user-memory-*` và `file-*`. Tất cả các tên bộ sưu tập khác đều được bỏ qua mà không được kiểm tra — bao gồm cả bộ sưu tập meta `knowledge-bases` ở cấp hệ thống, nơi lưu trữ các ID, tên và mô tả của mọi cơ sở kiến thức trên phiên bản. Bất kỳ người dùng đã xác thực nào cũng có thể truy vấn trực tiếp bộ sưu tập meta này thông qua các điểm cuối truy vấn truy xuất để lấy chỉ mục toàn bộ tất cả các cơ sở kiến thức trên tất cả người dùng. Lỗ hổng này đã được sửa trong phiên bản 0.9.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.