Katalog CVE

CVE-2026-56399

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

Podatność SSRF w Open WebUI przed wersją 0.6.27 w punkcie końcowym /api/v1/retrieval/process/web umożliwia uwierzytelnionym użytkownikom ominięcie zabezpieczeń SSRF. Atakujący mogą manipulować parametrami URL za pomocą nagłówków przekierowania lokalizacji, aby uzyskać dostęp do wewnętrznych usług i potencjalnie wykonać polecenia za pomocą sekretów instancji.

Ocena ryzyka

Ryzyko obejmuje nieautoryzowany dostęp do wewnętrznych usług oraz możliwość wykonania poleceń, co może prowadzić do przejęcia kontroli nad systemem i wycieku wrażliwych danych.

Rekomendacja

Zaleca się natychmiastową aktualizację Open WebUI do wersji 0.6.27 lub nowszej, która usuwa tę podatność. Należy również ograniczyć dostęp do punktu końcowego /api/v1/retrieval/process/web tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Open WebUI before 0.6.27 contains a server-side request forgery vulnerability in the /api/v1/retrieval/process/web endpoint that allows authenticated users to bypass SSRF protections. Attackers can manipulate URL parameters with location redirect headers to access internal services and potentially execute commands via instance secrets.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS