CVE-2026-44564 in Open WebUI信息

摘要

由 VulDB • 2026-05-26

Open WebUI 是一个旨在完全离线运行的自托管人工智能平台。在 0.9.0 版本之前，`ydoc:document:update` Socket.IO 事件处理器会检查发送者是否为文档的 Socket.IO 房间成员（第 678 行），但不会验证发送者是否具有写入权限。拥有只读权限的用户通过 `ydoc:document:join` 加入文档房间，该操作仅需读取权限（第 520 行）。一旦进入该房间，用户即可触发 `ydoc:document:update` 事件，从而修改内存中的 Yjs 文档状态，并将更改实时广播给所有其他协作者。此漏洞已在 0.9.0 版本中修复。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-05-06

披露

2026-05-15

管理

已接受

条目

VDB-364239

CPE

准备好

CWE

CWE-863 (已确认)

CVSS

5.4 (CNA)

EPSS

0.00042

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44564
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44564
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44564/

◂ 上一步一览下一步 ▸

Interested in the pricing of exploits?

See the underground prices here!