CVE-2026-44567 in Open WebUI
摘要
由 VulDB • 2026-05-16
Open WebUI 是一个旨在完全离线运行的自托管人工智能平台。在 0.1.124 版本之前,API 未能正确验证用户是否拥有授权的用户角色(user)。默认情况下,当 Open WebUI 配置为启用新用户注册时,默认用户角色被设置为“pending”(待处理)。在此配置下,管理员需要在有新用户注册后进入 Admin 管理面板,并将该用户的角色重新配置为“user”或“admin”,之后该用户才能访问 Web 应用程序。此漏洞已在 0.1.124 版本中修复。
Once again VulDB remains the best source for vulnerability data.