Katalog CVE

CVE-2026-54016

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

Open WebUI to samodzielnie hostowana platforma sztucznej inteligencji, która przed wersją 0.9.6 miała podatność na złamanie autoryzacji na poziomie obiektów (BOLA) w narzędziu search_knowledge_files. Umożliwia to uwierzytelnionemu użytkownikowi dostęp do metadanych plików z prywatnych lub ograniczonych baz wiedzy bez odpowiednich uprawnień.

Ocena ryzyka

Podatność ta stwarza ryzyko nieautoryzowanego dostępu do wrażliwych danych, co może prowadzić do naruszenia prywatności i bezpieczeństwa informacji w organizacji.

Rekomendacja

Zaleca się aktualizację Open WebUI do wersji 0.9.6 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków kontroli dostępu.

Oryginalny opis (angielski, źródło NVD)

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.9.6, Open WebUI has a Broken Object Level Authorization (BOLA) vulnerability in the builtin search_knowledge_files tool. When native function calling is enabled and the selected model has no attached knowledge bases, an authenticated user can call search_knowledge_files with an arbitrary knowledge_id. The function then returns file metadata from that knowledge base without checking whether the user has read access. This allows unauthorized enumeration of private or restricted knowledge base files. This vulnerability is fixed in 0.9.6.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS