CRITICAL🇬🇧 English

CVE-2026-44551

Open WebUI: pominięcie uwierzytelnienia LDAP przez puste hasło (Auth Bypass)

CVSS 9.1v3.1pub. 2026-05-15upd. 2026-05-18

W Open WebUI przed wersją 0.9.0 endpoint uwierzytelnienia LDAP nie weryfikuje, czy przesłane hasło jest niepuste, co umożliwia nieautoryzowane zalogowanie się na dowolne konto użytkownika. Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.9.0, the LDAP authentication endpoint does not validate that the submitted password is non-empty before performing a Simple Bind against the LDAP server. The LdapForm Pydantic model accepts password: str with no minimum length constraint, so an empty string passes validation. The subsequent Connection.bind() call succeeds on vulnerable LDAP servers, and the application issues a full session token for the target user. This vulnerability is fixed in 0.9.0.

🤖 Analiza AI
Jak działa

Model Pydantic `LdapForm` akceptuje pole `password` jako ciąg znaków (`str`) bez żadnego ograniczenia minimalnej długości, przez co pusty ciąg przechodzi walidację. Następnie wywołanie `Connection.bind()` na podatnych serwerach LDAP kończy się sukcesem przy operacji Simple Bind z pustym hasłem (mechanizm znany jako 'unauthenticated bind'). Aplikacja traktuje takie powiązanie jako poprawne uwierzytelnienie i wystawia pełnoprawny token sesji dla wskazanego użytkownika.

Skutki

Atakujący bez żadnych poświadczeń może uzyskać pełną sesję jako dowolny użytkownik skonfigurowany w LDAP, co prowadzi do całkowitego naruszenia poufności i integralności danych w platformie Open WebUI.

Mitygacja

Należy zaktualizować Open WebUI do wersji 0.9.0 lub nowszej, w której podatność została usunięta. Dodatkowo zaleca się wyłączenie obsługi 'unauthenticated bind' na serwerze LDAP jako dodatkową warstwę ochrony.

Kogo dotyczy

Open WebUI w wersjach przed 0.9.0 z włączoną integracją LDAP oraz podatnym serwerem LDAP obsługującym 'unauthenticated bind'.

Uwagi

Podatność dotyczy wyłącznie instalacji Open WebUI korzystających z uwierzytelnienia LDAP. Instalacje używające innych metod uwierzytelnienia nie są zagrożone. Poprawka dostępna w wersji 0.9.0 zgodnie z oficjalnym advisory na GitHub Security Advisories (GHSA-2r4p-jpmg-48f4).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Openwebui Open Webui

    APP
    Openwebui
    < 0.9.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-8017CRITICAL9.0PL ✓ten sam produkt

XSS w Open WebUI — kradzież sesji i eskalacja uprawnień do admina

CVE-2024-7053CRITICAL9.0PL ✓ten sam produkt

Session fixation i kradzież sesji administratora w Open WebUI

CVE-2026-54008HIGH8.5ten sam produkt

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0....

CVE-2026-54007HIGH7.1ten sam produkt

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0....

CVE-2026-54010HIGH8.3ten sam produkt

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0....

CVE-2026-44551 — Open WebUI: pominięcie uwierzytelnienia LDAP przez puste hasło (Auth Bypass) — CRITICAL 9.1 | CVEbaza.pl