Vulnérabilités
Aggrégat CVE / GHSA / KEV / OSV — filtrage par étiquette et catégorie.
| ID | Titre | |
|---|---|---|
| CVE-2026-54022 |
|
Vulnérabilité dans open-webui (CVE-2026-54022)
vulnérabilité dans open-webui (CVE-2026-54022). Des informations confidentielles peuvent être exposées. Exploitable via ``document_id``. Atténuation : mise à jour vers `0.8.11` ou plus.
|
| CVE-2026-54021 |
|
Autorisation incorrecte dans open-webui (CVE-2026-54021)
vulnérabilité dans open-webui (CVE-2026-54021). Risque d'opérations non autorisées ou de divulgation. Exploitable via `POST /ollama/api/chat/{url_idx}`. Atténuation : mise à jour vers `>= 0.9.6` ou plus.
|
| CVE-2026-54019 |
|
Vulnérabilité dans open-webui (CVE-2026-54019)
vulnérabilité dans open-webui (CVE-2026-54019). Des informations confidentielles peuvent être exposées. Exploitable via `POST /api/v1/retrieval/query/collection`. Atténuation : mise à jour vers `0.9.6` ou plus.
|
| CVE-2026-54018 |
|
SSRF (Falsification de requête côté serveur) dans open-webui (CVE-2026-54018)
SSRF dans open-webui (CVE-2026-54018). Des informations confidentielles peuvent être exposées. Atténuation : mise à jour vers `0.9.6` ou plus.
|
| CVE-2026-54017 |
|
Traversée de chemin dans open-webui (CVE-2026-54017)
traversée de chemin dans open-webui (CVE-2026-54017). Des informations confidentielles peuvent être exposées. Exploitable via `GET /api/v1/terminals/server1/..`. Atténuation : mise à jour vers `0.9.6` ou plus.
|
| CVE-2026-54016 |
|
Vulnérabilité dans open-webui (CVE-2026-54016)
vulnérabilité dans open-webui (CVE-2026-54016). Risque d'opérations non autorisées ou de divulgation. Exploitable via ``search_knowledge_files``. Atténuation : mise à jour vers `0.9.6` ou plus.
|
| CVE-2026-54015 |
|
Vulnérabilité dans open-webui (CVE-2026-54015)
vulnérabilité dans open-webui (CVE-2026-54015). Des informations confidentielles peuvent être exposées. Exploitable via `GET /api/v1/prompts/id/{prompt_id}/history/diff`. Atténuation : mise à jour vers `0.9.6` ou plus.
|
| CVE-2026-54014 |
|
Traversée de chemin dans open-webui (CVE-2026-54014)
traversée de chemin dans open-webui (CVE-2026-54014). Risque d'opérations non autorisées ou de divulgation. Exploitable via `GET /cache/{{path}}`. Atténuation : mise à jour vers `0.9.6` ou plus.
|
| CVE-2026-54013 |
|
XSS (Cross-Site Scripting) dans open-webui (CVE-2026-54013)
XSS dans open-webui (CVE-2026-54013). Des informations confidentielles peuvent être exposées. Exploitable via `GET /api/v1/models/model/profile/image`. Atténuation : mise à jour vers `0.9.6` ou plus.
|
| CVE-2026-54012 |
|
Vulnérabilité dans open-webui (CVE-2026-54012)
vulnérabilité dans open-webui (CVE-2026-54012). Des informations confidentielles peuvent être exposées. Exploitable via `GET /api/v1/files/{id}/content`. Atténuation : mise à jour vers `0.9.6` ou plus.
|
| CVE-2026-54011 |
|
XSS (Cross-Site Scripting) dans open-webui (CVE-2026-54011)
XSS dans open-webui (CVE-2026-54011). Des informations confidentielles peuvent être exposées. Exploitable via ``innerHTML``. Atténuation : mise à jour vers `0.9.6` ou plus.
|
| CVE-2026-54010 |
|
Vulnérabilité dans open-webui (CVE-2026-54010)
vulnérabilité dans open-webui (CVE-2026-54010). Des informations confidentielles peuvent être exposées. Exploitable via `GET /api/v1/files/{id}/content`. Atténuation : mise à jour vers `>= 0.9.6` ou plus.
|
| CVE-2026-54009 |
|
Vulnérabilité dans open-webui (CVE-2026-54009)
vulnérabilité dans open-webui (CVE-2026-54009). Des informations confidentielles peuvent être exposées. Exploitable via `POST /api/chat/completions`. Atténuation : mise à jour vers `0.9.6` ou plus.
|
| CVE-2026-54008 |
|
SSRF (Falsification de requête côté serveur) dans open-webui (CVE-2026-54008)
SSRF dans open-webui (CVE-2026-54008). Des informations confidentielles peuvent être exposées. Exploitable via `GET /api/v1/auths/`. Atténuation : mise à jour vers `0.9.0` ou plus.
|
| CVE-2026-54007 |
|
Vulnérabilité dans open-webui (CVE-2026-54007)
vulnérabilité dans open-webui (CVE-2026-54007). Les données peuvent être altérées par des attaquants. Exploitable via `POST /api/v1/chats/new`. Atténuation : mise à jour vers `0.9.6` ou plus.
|
| CVE-2026-54006 |
|
Vulnérabilité dans open-webui (CVE-2026-54006)
vulnérabilité dans open-webui (CVE-2026-54006). Risque d'opérations non autorisées ou de divulgation. Exploitable via `POST /api/v1/calendars/events/{event_id}/update`. Atténuation : mise à jour vers `0.9.6` ou plus.
|
| CVE-2026-45675 |
|
Élévation de privilèges dans open-webui (CVE-2026-45675)
vulnérabilité dans open-webui (CVE-2026-45675). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via ``signup_handler``. Atténuation : mise à jour vers `0.9.0` ou plus.
|
| CVE-2026-45672 |
|
Autorisation incorrecte dans open-webui (CVE-2026-45672)
vulnérabilité dans open-webui (CVE-2026-45672). L'exploitation peut entraîner la prise de contrôle totale du système. Atténuation : mise à jour vers `0.8.12` ou plus.
|
| CVE-2026-45671 |
|
Vulnérabilité dans open-webui (CVE-2026-45671)
vulnérabilité dans open-webui (CVE-2026-45671). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via `DELETE /api/v1/files/{id}`. Atténuation : mise à jour vers `0.9.0` ou plus.
|
| CVE-2026-45667 |
|
Vulnérabilité dans open-webui (CVE-2026-45667)
vulnérabilité dans open-webui (CVE-2026-45667). Risque d'opérations non autorisées ou de divulgation. Exploitable via `Authorization header`. Atténuation : mise à jour vers `0.8.0` ou plus.
|
| CVE-2026-45666 |
|
Vulnérabilité dans open-webui (CVE-2026-45666)
vulnérabilité dans open-webui (CVE-2026-45666). Des informations confidentielles peuvent être exposées. Exploitable via `GET /api/config.`. Atténuation : mise à jour vers `0.8.11` ou plus.
|
| CVE-2026-45665 |
|
XSS (Cross-Site Scripting) dans open-webui (CVE-2026-45665)
XSS dans open-webui (CVE-2026-45665). Des informations confidentielles peuvent être exposées. Exploitable via ``marked.parse``. Atténuation : mise à jour vers `0.8.0` ou plus.
|
| CVE-2026-45402 |
|
Vulnérabilité dans open-webui (CVE-2026-45402)
vulnérabilité dans open-webui (CVE-2026-45402). Des informations confidentielles peuvent être exposées. Exploitable via `POST /api/v1/folders/{id}/update`. Atténuation : mise à jour vers `0.9.5` ou plus.
|
| CVE-2026-45401 |
|
SSRF (Falsification de requête côté serveur) dans open-webui (CVE-2026-45401)
SSRF dans open-webui (CVE-2026-45401). Des informations confidentielles peuvent être exposées. Exploitable via ``requests``. Atténuation : mise à jour vers `0.9.5` ou plus.
|
| CVE-2026-45400 |
|
SSRF (Falsification de requête côté serveur) dans open-webui (CVE-2026-45400)
SSRF dans open-webui (CVE-2026-45400). Des informations confidentielles peuvent être exposées. Exploitable via ``requests``. Atténuation : mise à jour vers `0.9.5` ou plus.
|
| CVE-2026-45399 |
|
Vulnérabilité dans open-webui (CVE-2026-45399)
vulnérabilité dans open-webui (CVE-2026-45399). Risque d'opérations non autorisées ou de divulgation. Exploitable via `GET /api/tasks`. Atténuation : mise à jour vers `0.9.0` ou plus.
|
| CVE-2026-45398 |
|
Vulnérabilité dans open-webui (CVE-2026-45398)
vulnérabilité dans open-webui (CVE-2026-45398). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via `POST /api/v1/retrieval/query/doc`. Atténuation : mise à jour vers `0.9.5` ou plus.
|
| CVE-2026-45397 |
|
Vulnérabilité dans open-webui (CVE-2026-45397)
vulnérabilité dans open-webui (CVE-2026-45397). Risque d'opérations non autorisées ou de divulgation. Exploitable via `GET /api/v1/retrieval/`. Atténuation : mise à jour vers `0.9.5` ou plus.
|
| CVE-2026-45396 |
|
Vulnérabilité dans open-webui (CVE-2026-45396)
vulnérabilité dans open-webui (CVE-2026-45396). Risque d'opérations non autorisées ou de divulgation. Exploitable via `POST /api/v1/evaluations/feedback`. Atténuation : mise à jour vers `0.9.0` ou plus.
|
| CVE-2026-45395 |
|
Élévation de privilèges dans open-webui (CVE-2026-45395)
vulnérabilité dans open-webui (CVE-2026-45395). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via `POST /api/v1/tools/id/{id}/update`. Atténuation : mise à jour vers `0.9.5` ou plus.
|
| CVE-2026-45387 |
|
Divulgation d'information dans open-webui (CVE-2026-45387)
vulnérabilité dans open-webui (CVE-2026-45387). Risque d'opérations non autorisées ou de divulgation. Atténuation : mise à jour vers `0.9.5` ou plus.
|
| CVE-2026-45386 |
|
Vulnérabilité dans open-webui (CVE-2026-45386)
vulnérabilité dans open-webui (CVE-2026-45386). Risque d'opérations non autorisées ou de divulgation. Exploitable via `POST /api/v1/channels/create`. Atténuation : mise à jour vers `0.9.5` ou plus.
|
| CVE-2026-45385 |
|
Vulnérabilité dans open-webui (CVE-2026-45385)
vulnérabilité dans open-webui (CVE-2026-45385). Risque d'opérations non autorisées ou de divulgation. Exploitable via `POST /api/v1/channels/create`. Atténuation : mise à jour vers `0.9.5` ou plus.
|
| CVE-2026-45365 |
|
Vulnérabilité dans open-webui (CVE-2026-45365)
vulnérabilité dans open-webui (CVE-2026-45365). Risque d'opérations non autorisées ou de divulgation. Exploitable via `POST /openai/chat/completions`. Atténuation : mise à jour vers `0.8.11` ou plus.
|
| CVE-2026-45351 |
|
Divulgation d'information dans open-webui (CVE-2026-45351)
vulnérabilité dans open-webui (CVE-2026-45351). Des informations confidentielles peuvent être exposées. Exploitable via `GET /api/models`. Atténuation : mise à jour vers `0.8.9` ou plus.
|
| CVE-2026-45350 |
|
Vulnérabilité dans open-webui (CVE-2026-45350)
vulnérabilité dans open-webui (CVE-2026-45350). Des informations confidentielles peuvent être exposées. Exploitable via ``tool_id``. Atténuation : mise à jour vers `0.8.6` ou plus.
|
| CVE-2026-45349 |
|
Vulnérabilité dans open-webui (CVE-2026-45349)
vulnérabilité dans open-webui (CVE-2026-45349). Des informations confidentielles peuvent être exposées. Exploitable via ``chat_completion``. Atténuation : mise à jour vers `0.9.0` ou plus.
|
| CVE-2026-45347 |
|
SSRF (Falsification de requête côté serveur) dans open-webui (CVE-2026-45347)
SSRF dans open-webui (CVE-2026-45347). Risque d'opérations non autorisées ou de divulgation. Exploitable via `POST /api/v1/utils/pdf`. Atténuation : mise à jour vers `0.5.11` ou plus.
|
| CVE-2026-45346 |
|
Vulnérabilité dans open-webui (CVE-2026-45346)
vulnérabilité dans open-webui (CVE-2026-45346). Risque d'opérations non autorisées ou de divulgation. Atténuation : mise à jour vers `0.6.31` ou plus.
|
| CVE-2026-45345 |
|
Vulnérabilité dans open-webui (CVE-2026-45345)
vulnérabilité dans open-webui (CVE-2026-45345). Les données peuvent être altérées par des attaquants. Exploitable via `POST /api/v1/models/model/update`. Atténuation : mise à jour vers `0.5.7` ou plus.
|
| CVE-2026-45339 |
|
Autorisation incorrecte dans open-webu (CVE-2026-45339)
vulnérabilité dans open-webu (CVE-2026-45339). Des informations confidentielles peuvent être exposées. Exploitable via `Authorization header`. Atténuation : mise à jour vers `0.9.0` ou plus.
|
| CVE-2026-45338 |
|
SSRF (Falsification de requête côté serveur) dans open-webui (CVE-2026-45338)
SSRF dans open-webui (CVE-2026-45338). Des informations confidentielles peuvent être exposées. Exploitable via ``picture``. Atténuation : mise à jour vers `0.9.0` ou plus.
|
| CVE-2026-45331 |
|
SSRF (Falsification de requête côté serveur) dans open-webui (CVE-2026-45331)
SSRF dans open-webui (CVE-2026-45331). Des informations confidentielles peuvent être exposées. Exploitable via ``validators``. Atténuation : mise à jour vers `0.9.0` ou plus.
|
| CVE-2026-45317 |
|
Vulnérabilité dans open-webui (CVE-2026-45317)
vulnérabilité dans open-webui (CVE-2026-45317). Risque d'opérations non autorisées ou de divulgation. Atténuation : mise à jour vers `0.9.3` ou plus.
|
| CVE-2026-45318 |
|
XSS (Cross-Site Scripting) dans open-webui (CVE-2026-45318)
XSS dans open-webui (CVE-2026-45318). Risque d'opérations non autorisées ou de divulgation. Exploitable via ``fileOfficeHtml``. Atténuation : mise à jour vers `0.8.0` ou plus.
|
| CVE-2026-45316 |
|
Autorisation incorrecte dans open-webui (CVE-2026-45316)
vulnérabilité dans open-webui (CVE-2026-45316). Risque d'opérations non autorisées ou de divulgation. Exploitable via `POST /api/v1/notes/{id}/pin`. Atténuation : mise à jour vers `0.9.3` ou plus.
|
| CVE-2026-45314 |
|
Vulnérabilité dans open-webui (CVE-2026-45314)
vulnérabilité dans open-webui (CVE-2026-45314). Risque d'opérations non autorisées ou de divulgation. Exploitable via `GET /api/v1/channels/webhooks/{webhook_id}/profile/image`. Atténuation : mise à jour vers `0.9.3` ou plus.
|
| CVE-2026-45315 |
|
Téléversement de fichier dangereux dans open-webui (CVE-2026-45315)
vulnérabilité dans open-webui (CVE-2026-45315). Des informations confidentielles peuvent être exposées. Atténuation : mise à jour vers `0.9.3` ou plus.
|
| CVE-2026-45303 |
|
XSS (Cross-Site Scripting) dans open-webui (CVE-2026-45303)
XSS dans open-webui (CVE-2026-45303). Des informations confidentielles peuvent être exposées. Exploitable via ``High``. Atténuation : mise à jour vers `0.6.5` ou plus.
|
| CVE-2026-45301 |
|
Vulnérabilité dans open-webui (CVE-2026-45301)
vulnérabilité dans open-webui (CVE-2026-45301). Des informations confidentielles peuvent être exposées. Exploitable via ``user_id``. Atténuation : mise à jour vers `0.3.16` ou plus.
|