CVE-2026-45338
🟡 Monitoruj
W Open WebUI występuje podatność SSRF, która pozwala na dostęp do zasobów wewnętrznych serwera.
CVSS
7.7
EPSS
0.0%
Exploit
poc
Vendor
openwebui
Opis źródłowy (NVD)
Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.9.0, a Server-Side Request Forgery (SSRF) vulnerability exists in _process_picture_url() in backend/open_webui/utils/oauth.py (line ~1338). The function fetches arbitrary URLs from OAuth picture claims without applying validate_url(), allowing an attacker to force the server to make HTTP requests to internal resources and exfiltrate the full response. This vulnerability is fixed in 0.9.0.
exploit ssrf
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 7.7 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-05-15 22:16:54 UTC |
| Ostatnia modyfikacja (NVD) | 2026-05-18 19:33:34 UTC |
Referencje
- https://github.com/open-webui/open-webui/security/advisories/GHSA-24c9-2m8q-qhmh (security-advisories@github.com) [Exploit, Mitigation, Vendor Advisory]