PT-2026-39278 · Unknown · Open-Webui
Publicado
2026-05-08
·
Atualizado
2026-05-17
·
CVE-2026-44561
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Open WebUI versões anteriores a 0.9.0
Description
O Open WebUI é uma plataforma de inteligência artificial auto-hospedada projetada para operar inteiramente offline. Existe um problema onde a função
is user channel member() verifica a existência de um registro de membro, mas não verifica o campo is active. Consequentemente, quando um usuário é removido de um canal de grupo ou DM, ou sai voluntariamente, seu registro de membro permanece com is active=False e status='left', mas ele mantém acesso total de leitura e escrita por meio de chamadas diretas de API. Embora o canal seja ocultado da interface do usuário, ele ainda pode interagir com endpoints de nível de mensagem se possuir o ID do canal. Os endpoints afetados incluem:- '/api/v1/channels/{channel id}/messages'
- '/api/v1/channels/{channel id}/messages/post'
- '/api/v1/channels/{channel id}/messages/{id}/update'
- '/api/v1/channels/{channel id}/messages/{id}/delete'
Recommendations
Atualizar para a versão 0.9.0.
Exploit
Correção
Incorrect Authorization
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Open-Webui