CVE-2026-44570 in Open WebUI
Tóm tắt
Bởi VulDB • 22/05/2026
Open WebUI là một nền tảng trí tuệ nhân tạo tự lưu trữ, được thiết kế để hoạt động hoàn toàn ngoại tuyến. Trước phiên bản 0.6.19, các kiểm soát ủy quyền liên quan đến API memories không nhất quán, dẫn đến việc người dùng tiêu chuẩn có thể xóa, khôi phục và xem nội dung bộ nhớ của người dùng khác. Bằng cách sử dụng một người dùng không phải quản trị viên mới được tạo và không có bộ nhớ nào tồn tại trước đó, người ta có thể xem các bộ nhớ hiện có thông qua POST /api/v1/memories/query. Tương tự, ngay cả khi người dùng không phải quản trị viên không thể sửa đổi dữ liệu bộ nhớ của người dùng khác thông qua POST /api/v1/memories/{memory_id}/update, phản hồi từ điểm cuối này vẫn rò rỉ nội dung của bộ nhớ đó một cách không đúng cách nếu biết một memory_id hợp lệ. DELETE /api/v1/memories/{memory_id} cũng có thể được sử dụng bởi bất kỳ người dùng nào để xóa một bộ nhớ hiện có. Các bộ nhớ đã xóa sau đó có thể được khôi phục bằng cách gọi lại điểm cuối POST /api/v1/memories/{memory_id}/update. Lỗ hổng này đã được sửa chữa trong phiên bản 0.6.19.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.