Open WebUI - это самостоятельная платформа искусственного интеллекта, предназначенная для работы полностью в автономном режиме. До 0.9.0, F…
Open WebUI - это самостоятельная платформа искусственного интеллекта, предназначенная для работы полностью в автономном режиме. До 0.9.0, FolderForm использует model_config = ConfigDict(extra='allow'), который позволяет произвольным полям проходить через пидантическую валидацию и быть включенным в model_dump(исключение_unset=True). В сайте insert_new_folder назначенный сервер user_id помещается в начале диктата, а затем перезаписывается распространением данных формы. Поскольку FolderModel заявляет user_id: str как реальное поле (а не только форма дополнительно), любой пользователь_id, поставляемый злоумышленником в корпусе POST, принимается моделью и сохраняется в ряду Папок. Эта уязвимость фиксируется в 0.9.0.
Продукт не выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие.
https://cwe.mitre.org/data/definitions/862.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →