CVE-2026-44564 in Open WebUIthông tin

Tóm tắt

Bởi VulDB • 26/05/2026

Open WebUI là một nền tảng trí tuệ nhân tạo tự lưu trữ, được thiết kế để hoạt động hoàn toàn ngoại tuyến. Trước phiên bản 0.9.0, trình xử lý sự kiện Socket.IO `ydoc:document:update` kiểm tra xem người gửi có phải là thành viên của phòng Socket.IO của tài liệu (dòng 678) nhưng không xác minh rằng người gửi có quyền ghi. Người dùng có quyền chỉ đọc tham gia phòng tài liệu thông qua `ydoc:document:join`, yêu cầu chỉ quyền đọc (dòng 520). Khi đã vào phòng, người dùng có thể phát ra các sự kiện `ydoc:document:update` làm thay đổi trạng thái tài liệu Yjs trong bộ nhớ và được phát sóng đến tất cả các cộng tác viên khác theo thời gian thực. Lỗ hổng này đã được sửa trong phiên bản 0.9.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

GitHub M

Đặt trước

06/05/2026

Tiết lộ

15/05/2026

Kiểm duyệt

được chấp nhận

mục

VDB-364239

CPE

sẵn sàng

CWE

CWE-863 (Đã xác nhận)

CVSS

5.4 (CNA)

EPSS

0.00042

KEV

không

Các hoạt động

rất thấp

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44564
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44564
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44564/

◂ Trước Tổng Quan Tiếp theo ▸

Do you need the next level of professionalism?

Upgrade your account now!