Katalog CVE

CVE-2026-54006

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

W Open WebUI przed wersją 0.9.6 występuje luka, która pozwala użytkownikom z rolą zwykłego na przenoszenie wydarzeń między kalendarzami innych użytkowników bez odpowiednich uprawnień. Luka ta polega na braku walidacji identyfikatora kalendarza docelowego w żądaniu aktualizacji wydarzenia.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowane przenoszenie danych między kalendarzami, co może prowadzić do naruszenia prywatności i bezpieczeństwa informacji.

Rekomendacja

Zaleca się aktualizację Open WebUI do wersji 0.9.6 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych kontroli dostępu w aplikacji.

Oryginalny opis (angielski, źródło NVD)

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.9.6, POST /api/v1/calendars/events/{event_id}/update validates that the caller has write access to the calendar the event currently belongs to, but does not validate the destination calendar_id supplied in the request body. The model layer then persists the new calendar_id unconditionally. A regular user-role account can therefore create an event in their own calendar and immediately move it into any other user's calendar whose ID they know — bypassing the authorization check that create_event correctly performs. This vulnerability is fixed in 0.9.6.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS