JVNDB-2026-016352

openwebuiのopen webuiにおける複数の脆弱性

Open WebUIは完全にオフラインで動作するように設計されたセルフホスト型の人工知能プラットフォームです。バージョン0.9.3以前では、Open-WebUIの画像アップロード機能にアプリケーション全体に影響を及ぼすクロスサイトリクエストフォージェリ（CSRF）の脆弱性が存在していました。攻撃者は画像のURLを悪意のあるエンドポイントに設定でき、これにより被害者ユーザーを代表して操作を実行できます。認証されたユーザーであれば誰でもこの脆弱性を悪用でき、また、侵害された画像（例：プロフィール写真）を閲覧した任意のユーザーは知らずに攻撃者が管理するURLへGETリクエストを送信してしまいます。これによりクッキーの盗難、サービス拒否（DoS）、その他の悪意ある行為が引き起こされる可能性があります。この脆弱性はバージョン0.9.3で修正されました。

openwebui

• open webui 0.9.3 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアの一部が停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Cross-Site Request Forgery (CSRF) via Image URL Manipulation  Advisory  open-webui/open-webui  GitHub

1. 不適切な入力確認(CWE-20) [その他]
2. クロスサイトリクエストフォージェリ(CWE-352) [その他]

1. CVE-2026-45317

1. National Vulnerability Database (NVD) : CVE-2026-45317

• [2026年05月20日]
    掲載