Open WebUI has inconsistent authorization controls within memories API — CVE-2026-44570

GitHub · GitHub · CVE-2026-44570

ID
CVE-2026-44570

Date
2026-05-11

Mis à jour
2026-05-19

Activity
2026-05-19

Source
GitHub

Fournisseur
GitHub

Risque
high

CVSS
8.3

EPSS
0.00038

Résumé

### Summary Authorization controls surrounding the memories API were inconsistent, resulting in the ability of a standard user to delete, restore, and view the contents of other users' memories. ### Details Using a newly created non-admin user with no existing memories, it is possible to view existing memories via `POST /api/v1/memories/query`. See below under the PoC section, where a call to `GET…

Produit

pip: open-webui

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.