Vulnérabilité medium détectée - CVE-2026-44558

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.9.0, the channel router does not call fi...

CVE concernées (1)

CVE-2026-44558

Systèmes affectés

open_webui
openwebui

Description

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.9.0, the channel router does not call filter_allowed_access_grants on either create or update paths. A non-admin user who can create group channels (or who owns a channel) can submit arbitrary access grants — including public wildcard grants — and those grants are stored verbatim, bypassing the admin's permission framework. This vulnerability is fixed in 0.9.0.

Type de vulnérabilité

CWE-862

Vecteur d'attaque

Complexité : LOW

Privilèges requis : LOW

Interaction utilisateur : NONE

Impact

Confidentialité : LOW
Intégrité : LOW
Disponibilité : NONE

Recommandations

Appliquer les correctifs de sécurité fournis par le vendeur dès que possible.

Recommandations de sécurité

Appliquer immédiatement les correctifs de sécurité
Surveiller les systèmes pour détecter toute tentative d'exploitation

Références et sources

NVD - CVE-2026-44558