CVE-2026-54006
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
W Open WebUI przed wersją 0.9.6 występuje luka, która pozwala użytkownikom z rolą zwykłego na przenoszenie wydarzeń między kalendarzami innych użytkowników bez odpowiednich uprawnień. Luka ta polega na braku walidacji identyfikatora kalendarza docelowego w żądaniu aktualizacji wydarzenia.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowane przenoszenie danych między kalendarzami, co może prowadzić do naruszenia prywatności i bezpieczeństwa informacji.
Rekomendacja
Zaleca się aktualizację Open WebUI do wersji 0.9.6 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych kontroli dostępu w aplikacji.
Oryginalny opis (angielski, źródło NVD)
Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.9.6, POST /api/v1/calendars/events/{event_id}/update validates that the caller has write access to the calendar the event currently belongs to, but does not validate the destination calendar_id supplied in the request body. The model layer then persists the new calendar_id unconditionally. A regular user-role account can therefore create an event in their own calendar and immediately move it into any other user's calendar whose ID they know — bypassing the authorization check that create_event correctly performs. This vulnerability is fixed in 0.9.6.

