CVE-2026-44558

Nome do Software Vulnerável e Versões Afetadas Open WebUI versões anteriores a 0.9.0

Descrição O roteador de canais não chama a função filter allowed access grants() durante a criação ou atualização de canais. Esta função tem como objetivo remover concessões de curinga não autorizadas (como principal id: "*") ou concessões de usuários individuais de usuários que não possuem as permissões necessárias. Consequentemente, um usuário não administrador que possa criar canais de grupo ou que seja proprietário de um canal pode enviar concessões de acesso arbitrárias que são armazenadas literalmente, ignorando a estrutura de permissões do administrador. Isso permite que os usuários tornem os canais publicamente acessíveis ou concedam acesso individual, mesmo quando as políticas administrativas proíbem tais ações.

Os detalhes técnicos incluem os seguintes endpoints afetados:

Recomendações Atualizar para a versão 0.9.0.