Katalog CVE

CVE-2026-54011

WysokieCVSS 8.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Open WebUI przed wersją 0.9.6 renderuje bloki Mermaid z plików Markdown w panelu podglądu plików, co pozwala na wstrzyknięcie złośliwego kodu JavaScript do DOM. Z powodu ustawienia securityLevel: 'loose', złośliwe treści kontrolowane przez atakującego mogą być renderowane w sposób niebezpieczny.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania złośliwego kodu JavaScript w przeglądarkach ofiar, co może prowadzić do kradzieży danych lub przejęcia sesji użytkownika.

Rekomendacja

Zaleca się aktualizację Open WebUI do wersji 0.9.6 lub nowszej, aby usunąć tę podatność oraz zredukować ryzyko związane z nieautoryzowanym wykonaniem kodu.

Oryginalny opis (angielski, źródło NVD)

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.9.6,Open WebUI renders Mermaid blocks from Markdown files in the file preview panel and inserts the generated SVG into the DOM using innerHTML. Because Mermaid is configured with securityLevel: 'loose', attacker-controlled Mermaid content can be rendered unsafely in this flow. A working payload was validated through the Markdown preview path, resulting in JavaScript execution in the victim’s browser under the application origin. This vulnerability is fixed in 0.9.6.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS