Katalog CVE

CVE-2026-44551

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach przed 0.9.0 platformy Open WebUI, punkt końcowy uwierzytelniania LDAP nie weryfikuje, czy przesłane hasło jest puste przed wykonaniem prostego połączenia z serwerem LDAP. Model Pydantic LdapForm akceptuje hasło jako ciąg znaków bez minimalnych wymagań długości, co pozwala na przesłanie pustego ciągu.

Ocena ryzyka

W wyniku tej podatności, atakujący może uzyskać pełny token sesji dla docelowego użytkownika, co stwarza poważne zagrożenie dla bezpieczeństwa danych i dostępu do systemu.

Rekomendacja

Zaleca się aktualizację do wersji 0.9.0 lub nowszej, aby naprawić tę podatność oraz wprowadzenie dodatkowych mechanizmów weryfikacji haseł.

Oryginalny opis (angielski, źródło NVD)

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.9.0, the LDAP authentication endpoint does not validate that the submitted password is non-empty before performing a Simple Bind against the LDAP server. The LdapForm Pydantic model accepts password: str with no minimum length constraint, so an empty string passes validation. The subsequent Connection.bind() call succeeds on vulnerable LDAP servers, and the application issues a full session token for the target user. This vulnerability is fixed in 0.9.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS