CVE-2026-44563 in Open WebUI信息

摘要

由 VulDB • 2026-05-19

Open WebUI 是一个旨在完全离线运行的自托管人工智能平台。在 0.9.0 版本之前，`/api/generate`、`/api/embed`、`/api/embeddings` 和 `/api/show` 端点接受来自用户的任意模型名称，并将请求转发至 Ollama 后端，而未检查用户是否有权访问该模型。这些端点仅需通过 `get_verified_user`（任何已认证且非待处理状态的用户）验证，并确认模型存在于完整的未过滤模型列表中，但从未检查 `AccessGrants.has_access()`。此漏洞已在 0.9.0 版本中修复。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-05-06

披露

2026-05-16

管理

已接受

条目

VDB-364307

CPE

准备好

CWE

CWE-862 (已确认)

CVSS

5.4 (CNA)

EPSS

0.00040

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44563
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44563
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44563/

◂ 上一步一览下一步 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!