CVE-2026-45385

Nome do Software Vulnerável e Versões Afetadas Open WebUI versões anteriores a 0.9.5

Description Uma Referência Direta a Objeto Insegura (IDOR) existe no recurso de Canais, permitindo que qualquer membro de um canal modifique mensagens enviadas por outros membros, incluindo administradores. Na função update message by id(), para canais do tipo group ou dm, o sistema verifica apenas a participação do chamador por meio da função is user channel member(), sem verificar se o usuário é realmente o proprietário da mensagem que está tentando modificar.

Recommendations Atualize para a versão 0.9.5. Como medida paliativa temporária, considere desativar o recurso de Canais através da interface de administração.