JVNDB-2026-016378

openwebuiのopen webuiにおける認証の欠如に関する脆弱性

Open WebUIは完全にオフラインで動作するように設計されたセルフホスト型の人工知能プラットフォームです。バージョン0.9.0以前では、FolderFormはmodel_config = ConfigDict(extra='allow')を使用しており、これにより任意のフィールドがPydanticのバリデーションを通過し、model_dump(exclude_unset=True)に含まれることが可能でした。insert_new_folderにおいて、サーバーが割り当てるuser_idは辞書の先頭に配置され、その後フォームデータの展開によって上書きされます。FolderModelはuser_id: strを実フィールドとして宣言しているため、攻撃者がPOSTボディに含めた任意のuser_idがモデルに受け入れられ、Folder行に永続化されます。この脆弱性はバージョン0.9.0で修正されました。

openwebui

• open webui 0.9.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Mass Assignment via Pydantic extra='allow' Allows Creating Folders in Other Users' Accounts  Advisory  open-webui/open-webui  GitHub

1. 認証の欠如(CWE-862) [その他]

1. CVE-2026-44550

1. National Vulnerability Database (NVD) : CVE-2026-44550

• [2026年05月20日]
    掲載