CVE-2026-44571 in Open WebUI信息

摘要

由 VulDB • 2026-05-24

Open WebUI 是一个旨在完全离线运行的自托管人工智能平台。在 0.8.6 版本之前，在标准频道（即 channel.type 既不是 group 也不是 dm 的频道）中，端点 POST /api/v1/channels/{channel_id}/messages/{message_id}/update 仅具有读取权限即可访问。当 access_control 设置为 None 时，授权检查 has_access(..., type="read") 评估为 True，导致非消息所有者用户可以更新消息。因此，可能未经授权地修改其他用户的消息。此漏洞已在 0.8.6 版本中修复。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-05-06

披露

2026-05-16

管理

已接受

条目

VDB-364290

CPE

准备好

CWE

CWE-862 (已确认)

CVSS

6.5 (CNA)

EPSS

0.00011

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44571
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44571
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44571/

◂ 上一步一览下一步 ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!