Katalog CVE

CVE-2026-54010

WysokieCVSS 8.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

Open WebUI to platforma sztucznej inteligencji, która przed wersją 0.9.6 pozwalała uwierzytelnionym użytkownikom dołączać dowolne wartości file_id do swoich wiadomości czatu bez weryfikacji, czy mają do nich prawo. To umożliwia atakującym dostęp do plików ofiar poprzez udostępnienie czatu.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do poufnych plików, co może prowadzić do wycieku danych lub ich nieautoryzowanego usunięcia.

Rekomendacja

Zaleca się aktualizację Open WebUI do wersji 0.9.6 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.9.6, Open WebUI lets an authenticated user attach arbitrary file_id values to their own chat message without checking whether they own or can read those files. If the attacker then shares that chat and grants themselves read access, has_access_to_file() treats the victim file as accessible through the shared chat, and the file endpoints read or delete the victim file. This vulnerability is fixed in 0.9.6.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS