CVE-2026-26193

Nome do Software Vulnerável e Versões Afetadas Open WebUI versões anteriores a 0.6.44

Descrição O Open WebUI é uma plataforma de inteligência artificial autohospedada, projetada para operar totalmente offline. Modificar manualmente o histórico de chat permite definir a propriedade embeds em uma mensagem de resposta. O conteúdo dessa propriedade é carregado em um iFrame com um sandbox que tem allow-scripts e allow-same-origin configurados, contornando a configuração "iframe Sandbox Allow Same Origin". Isso permite o cross-site scripting (XSS) armazenado no chat afetado, e o link malicioso resultante pode ser compartilhado com outros usuários na instância. O problema ocorre quando o chat está no formato compartilhado.

Recomendações Atualize para a versão 0.6.44 ou posterior.