CVE-2026-54009
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
W Open WebUI przed wersją 0.9.6 występuje podatność, która pozwala uwierzytelnionemu użytkownikowi na dostęp do plików innych użytkowników poprzez manipulację parametrem image_url.url w żądaniu POST /api/chat/completions. Jeśli wartość ta nie zaczyna się od http://, https:// lub data:image/, jest interpretowana jako identyfikator pliku, co umożliwia odczytanie zawartości pliku bez sprawdzania uprawnień.
Ocena ryzyka
Podatność ta stwarza ryzyko nieautoryzowanego dostępu do danych użytkowników, co może prowadzić do wycieku poufnych informacji. Organizacje powinny być świadome potencjalnych konsekwencji związanych z bezpieczeństwem danych.
Rekomendacja
Zaleca się aktualizację Open WebUI do wersji 0.9.6 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień dostępu do plików w systemie.
Oryginalny opis (angielski, źródło NVD)
Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.9.6, POST /api/chat/completions accepts an image_url.url value that, when it does NOT start with http://, https://, or data:image/, is interpreted as a file id and resolved against the global file table with no ownership check. an authenticated user can therefore set image_url.url to another user's file id, the server reads that file from disk, base64-encodes it, and injects the data URI into the LLM request. the user then prompts the LLM to describe / OCR the file and reads the content back. This vulnerability is fixed in 0.9.6.

