搜索结果
关于「open_webui」的漏洞数据
| AVD编号 | 漏洞名称 | 漏洞类型 | 披露时间 | 漏洞状态 |
|---|---|---|---|---|
| AVD-2026-45387 | 开放WebUI:共享模型供他人使用(读取权限)也会暴露模型详细信息(系统提示泄露)(CVE-2026-45387) | 2026-05-16 | ||
| AVD-2026-45395 | 打开 WebUI:工具更新端点上缺少“workspace.tools”授权检查允许权限升级到代码执行 (CVE-2026-45395) | 2026-05-16 | ||
| AVD-2026-45396 | 打开 WebUI:通过 FeedbackForm extra=allow 进行批量分配允许反馈用户 ID 欺骗和评估数据操作 (CVE-2026-45396) | 2026-05-16 | ||
| AVD-2026-45397 | 打开 WebUI:未经身份验证的 RAG 配置泄露 (CVE-2026-45397) | 2026-05-16 | ||
| AVD-2026-45398 | 打开 WebUI:IDOR - 检索 API 绕过知识库访问控制 (CVE-2026-45398) | 2026-05-16 | ||
| AVD-2026-44721 | 打开 WebUI:通过模型描述存储 XSS (CVE-2026-44721) | 2026-05-16 | ||
| AVD-2026-45385 | 打开 WebUI:update_message_by_id API 端点中存在 IDOR 漏洞 (CVE-2026-45385) | 2026-05-16 | ||
| AVD-2026-45671 | 打开 WebUI:共享聊天分支忽略 access_type,允许未经授权的文件删除 (CVE-2026-45671) | 2026-05-16 | ||
| AVD-2026-45675 | 打开 WebUI:LDAP 和 OAuth 第一用户竞争条件允许多个管理员帐户 (CVE-2026-45675) | 2026-05-16 | ||
| AVD-2026-44563 | 打开 WebUI:通过 /api/generate、/api/embed、/api/embeddings 和 /api/show 绕过 Ollama 模型访问控制 (CVE-2026-44563) | 2026-05-16 | ||
| AVD-2026-44564 | 开放WebUI:只读用户可以通过Socket.IO修改协作文档(CVE-2026-44564) | 2026-05-16 | ||
| AVD-2026-44568 | 打开 WebUI:通过不正确的 DOMPurify 应用程序订单在待处理用户覆盖中存储 XSS (CVE-2026-44568) | 2026-05-16 | ||
| AVD-2026-45331 | Open WebUI:RAG Web 搜索功能中的完整 SSRF 漏洞 (CVE-2026-45331) | 2026-05-16 | ||
| AVD-2026-45339 | 开放 WebUI:通过“x-api-key”标头绕过 API 密钥端点限制 — 在受限端点上进行完整消息处理 (CVE-2026-45339) | 2026-05-16 | ||
| AVD-2026-45349 | 打开 WebUI:完成 API 的访问控制损坏 (CVE-2026-45349) | 2026-05-16 | ||
| AVD-2026-45399 | 开放 WebUI:低权限的经过身份验证的用户可以枚举并停止全局后台任务,从而导致系统范围内的聊天中断 (CVE-2026-45399) | 2026-05-16 | ||
| AVD-2026-44556 | 打开 WebUI:响应直通端点缺乏访问控制授权 (CVE-2026-44556) | 2026-05-16 | ||
| AVD-2026-44557 | 开放 WebUI:通过知识库元集合进行全局知识库枚举 (CVE-2026-44557) | 2026-05-16 | ||
| AVD-2026-44558 | 打开 WebUI:通道访问授权绕过 filter_allowed_access_grants (CVE-2026-44558) | 2026-05-16 | ||
| AVD-2026-44559 | 打开 WebUI:缺少对标准通道的通道成员端点的访问检查 (CVE-2026-44559) | 2026-05-16 | ||
| AVD-2026-44560 | 打开 WebUI:通过 RAG 矢量搜索访问未经授权的文件和知识库内容 (CVE-2026-44560) | 2026-05-16 | ||
| AVD-2026-44561 | 打开 WebUI:停用的频道成员保留对组/DM 频道的完全访问权限 (CVE-2026-44561) | 2026-05-16 | ||
| AVD-2026-44562 | 打开 WebUI:模型导入会覆盖任何模型而不进行所有权检查 (CVE-2026-44562) | 2026-05-16 | ||
| AVD-2026-44550 | 打开 WebUI:通过 Pydantic extra='allow' 进行批量分配允许在其他用户的帐户中创建文件夹 (CVE-2026-44550) | 2026-05-16 | ||
| AVD-2026-44551 | 打开 WebUI:LDAP 空密码身份验证绕过 (CVE-2026-44551) | 2026-05-16 | ||
| AVD-2026-44552 | 打开 WebUI:Redis 缓存密钥 tool_servers 和terminal_servers 缺少实例前缀导致跨实例缓存中毒 (CVE-2026-44552) | 2026-05-16 | ||
| AVD-2026-44553 | 打开 WebUI:Socket.IO 会话池中的过时管理员角色启用降级后跨用户注释访问 (CVE-2026-44553) | 2026-05-16 | ||
| AVD-2026-44554 | 打开 WebUI:通过未经授权的集合覆盖导致知识库破坏和 RAG 中毒 (CVE-2026-44554) | 2026-05-16 | ||
| AVD-2026-44555 | 开放 WebUI:基本模型路由通过模型链绕过访问控制 (CVE-2026-44555) | 2026-05-16 | ||
| AVD-2026-34225 | Open WebUI <= 0.7.2 Blind SSRF漏洞(CVE-2026-34225) | 2026-04-14 |