CVE-2026-26192

Nome do Software Vulnerável e Versões Afetadas Versões do Open WebUI anteriores à 0.7.0

Descrição O Open WebUI é uma plataforma de inteligência artificial auto-hospedada projetada para operar totalmente offline. Modificar o histórico de chat antes da versão 0.7.0 permite a manipulação da propriedade html nos metadados do documento. Isso faz com que o frontend interprete o conteúdo do documento como HTML e o renderize dentro de um iFrame quando uma citação é visualizada, resultando em cross-site scripting (XSS) armazenado. O payload é executado quando a citação é visualizada, inclusive em chats compartilhados. O problema envolve um caminho de código acionado por conteúdos de documento tratados como HTML.

Recomendações Atualize para a versão 0.7.0 ou posterior.