CVE-2026-54011
WysokieCVSS 8.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Open WebUI przed wersją 0.9.6 renderuje bloki Mermaid z plików Markdown w panelu podglądu plików, co pozwala na wstrzyknięcie złośliwego kodu JavaScript do DOM. Z powodu ustawienia securityLevel: 'loose', złośliwe treści kontrolowane przez atakującego mogą być renderowane w sposób niebezpieczny.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wykonania złośliwego kodu JavaScript w przeglądarkach ofiar, co może prowadzić do kradzieży danych lub przejęcia sesji użytkownika.
Rekomendacja
Zaleca się aktualizację Open WebUI do wersji 0.9.6 lub nowszej, aby usunąć tę podatność oraz zredukować ryzyko związane z nieautoryzowanym wykonaniem kodu.
Oryginalny opis (angielski, źródło NVD)
Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.9.6,Open WebUI renders Mermaid blocks from Markdown files in the file preview panel and inserts the generated SVG into the DOM using innerHTML. Because Mermaid is configured with securityLevel: 'loose', attacker-controlled Mermaid content can be rendered unsafely in this flow. A working payload was validated through the Markdown preview path, resulting in JavaScript execution in the victim’s browser under the application origin. This vulnerability is fixed in 0.9.6.

