CVE-2026-44570

Nome do Software Vulnerável e Versões Afetadas Open WebUI versões anteriores a 0.6.19

Descrição Controles de autorização inconsistentes na API de memórias permitem que um usuário padrão não administrador visualize, exclua e restaure memórias pertencentes a outros usuários. Um usuário pode visualizar memórias existentes usando o endpoint 'POST /api/v1/memories/query'. Além disso, o endpoint 'POST /api/v1/memories/{memory id}/update' vaza inadequadamente o conteúdo de uma memória se um memory id válido for conhecido, mesmo que o usuário não possa modificar os dados. O endpoint 'DELETE /api/v1/memories/{memory id}' permite que qualquer usuário exclua memórias, que podem ser posteriormente restauradas chamando o endpoint 'POST /api/v1/memories/{memory id}/update'. Isso pode levar à divulgação de dados sensíveis e valores de ID de usuário exclusivos.

Recomendações Atualize para a versão 0.6.19.