CVE-2026-34222

Open WebUI has Broken Access Control in Tool Valves

CVSS 7.7 HIGHEPSS 5.3%CWE-285

Em resumo

O Open WebUI permite que usuários não autorizados acessem ou modifiquem configurações de ferramentas que deveriam ser restritas apenas a administradores. Isso significa que alguém sem as permissões adequadas poderia alterar como as ferramentas de IA funcionam, potencialmente acessando dados sensíveis ou prejudicando o sistema.

Detalhe técnico

Uma falha de controle de acesso quebrado nas válvulas de ferramentas (CWE-285) permite que usuários autenticados ou não autenticados contornem verificações de autorização e leiam/modifiquem configurações de ferramentas no Open WebUI em versões anteriores à 0.8.11. A vulnerabilidade afeta o endpoint de gerenciamento de ferramentas, permitindo potencialmente escalonamento de privilégios ou manipulação não autorizada do sistema sem exigir credenciais elevadas.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to version 0.8.11, there is a broken access control vulnerability in tool values. This issue has been patched in version 0.8.11.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

Produtos afetados

open-webui · open-webui

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

http://seclists.org/fulldisclosure/2026/Apr/4 https://github.com/open-webui/open-webui/releases/tag/v0.8.11 https://github.com/open-webui/open-webui/security/advisories/GHSA-7429-hxcv-268m