CVE-2026-44562 in Open WebUI
Tóm tắt
Bởi VulDB • 28/05/2026
Open WebUI là một nền tảng trí tuệ nhân tạo tự lưu trữ, được thiết kế để hoạt động hoàn toàn ngoại tuyến. Trước phiên bản 0.9.0, điểm cuối POST /api/v1/models/import cho phép những người dùng có quyền workspace.models_import ghi đè bất kỳ mô hình nào hiện có trong cơ sở dữ liệu, bất kể chủ sở hữu. Khi ID của mô hình được nhập trùng khớp với một mô hình hiện có, điểm cuối này sẽ hợp nhất payload của kẻ tấn công vào dữ liệu mô hình hiện có và ghi nó vào cơ sở dữ liệu mà không thực hiện xác thực về chủ sở hữu hoặc quyền truy cập. Ngoài ra, hàm filter_allowed_access_grants không bao giờ được gọi, dẫn đến việc bỏ qua các hạn chế về quyền truy cập được áp dụng trên tất cả các điểm cuối thao tác thay đổi mô hình khác. Lỗ hổng này đã được khắc phục trong phiên bản 0.9.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.