Zurück zur Liste

Open WebUI has XSS via SVG in /api/v1/channels/webhooks/{webhook_id}/profile/image — CVE-2026-45314

GitHub · GitHub · CVE-2026-45314

ID
CVE-2026-45314
Datum
Aktualisiert
Activity
Quelle
GitHub
Vendor
GitHub
Risiko
high
CVSS
7.4
EPSS
0.00047

Zusammenfassung

As part of our research on improving our [AI pentest](https://www.aikido.dev/attack/aipentest), we have uncovered the following issue in Open WebUI. We've manually verified and tided up the report, but you can also find the original agent finding at the bottom of this report. ### Summary The channel webhook create/update flow accepts arbitrary `profile_image_url` values, including `data:image/svg+xml;base64,...`…

Produkt

pip: open-webui

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

  • Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
  • Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
  • Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
  • Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W21