CVE-2026-54012 Open WebUI - Leitura/Exclusão de Arquivos
A vulnerabilidade permite que um usuário mal-intencionado anexe o ID de um arquivo de outro usuário à sua metadata de modelo e leia ou exclua esse arquivo privado. Isso ocorre devido à falta de verificação de permissões ao armazenar entradas de meta.knowledge. O impacto real é a violação da privacidade e segurança dos arquivos dos usuários. A exploração dessa vulnerabilidade pode ser feita por um usuário com permissões para criar, atualizar ou importar modelos de workspace.
CVE: CVE-2026-54012
Severidade: HIGH
Resumo:
A vulnerabilidade permite que um usuário mal-intencionado anexe o ID de um arquivo de outro usuário à sua metadata de modelo e leia ou exclua esse arquivo privado. Isso ocorre devido à falta de verificação de permissões ao armazenar entradas de meta.knowledge. O impacto real é a violação da privacidade e segurança dos arquivos dos usuários. A exploração dessa vulnerabilidade pode ser feita por um usuário com permissões para criar, atualizar ou importar modelos de workspace.
CVSS: 7.1