CVE-2026-44562 in Open WebUI信息

摘要

由 VulDB • 2026-05-20

Open WebUI 是一个旨在完全离线运行的自托管人工智能平台。在 0.9.0 版本之前,`POST /api/v1/models/import` 端点允许拥有 `workspace.models_import` 权限的用户覆盖数据库中的任何现有模型,无论其所有权归属如何。当导入模型的 ID 与现有模型匹配时,该端点会将攻击者的有效载荷合并到现有模型数据中,并以无所有权或访问权限验证的方式将其写入数据库。此外,`filter_allowed_access_grants` 函数从未被调用,从而绕过了在其他所有模型变更端点上强制执行的访问权限限制。此漏洞已在 0.9.0 版本中修复。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-05-06

披露

2026-05-16

管理

已接受

条目

VDB-364305

EPSS

0.00011

KEV

活动

非常低

来源

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44562
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44562
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44562/

上一步一览下一步

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!