つみかさね

CVE-2026-45315

High(7.5)

CVE-2026-45315 — Open WebUI Stored XSS(音声転写ファイル拡張子制御)

公開日: 2026-06-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
open-webuiOpen WebUI Contributors< 0.9.3

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1使用している open-webui のバージョンを確認する
  2. 2v0.9.2 以前の場合は v0.9.3 以降へアップデートする
  3. 3複数ユーザーが利用する環境ではアップロード権限を最小化する

影響対象

Open WebUI 共有インスタンス利用環境

補足

  • -共有インスタンスや組織内で利用している場合は早めの対応を推奨します
CVEOpen WebUIXSSPyPILLMAI

概要

Open WebUI(ブラウザベースの LLM フロントエンドとして広く利用)の /api/v1/audio/transcriptions エンドポイントにおいて、攻撃者が制御するファイル拡張子を通じた Stored XSS(格納型クロスサイトスクリプティング)脆弱性が存在します(CWE-79)。

悪意ある拡張子を持つファイルをアップロードすることで、そのコンテンツが適切なサニタイズなしにレンダリングされ、他のユーザーがそのページを閲覧した際に任意のスクリプトが実行されます。共有環境や複数ユーザーが利用する Open WebUI インスタンスでは特に注意が必要です。

CVSSベクトル

項目
深刻度High(GHSA)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権低(認証済みユーザー)
ユーザー関与必要
CWECWE-79(クロスサイトスクリプティング)

影響を受けるソフトウェア

製品ベンダー影響バージョン
open-webuiOpen WebUI Contributorsv0.9.2 以前

修正バージョンと回避策

  • 修正バージョン: open-webui v0.9.3 以降
  • 回避策: ファイルアップロード機能へのアクセスを信頼できるユーザーのみに制限する

関連リンク

データソース: GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-47200Nuxt ルートミドルウェア未適用CVSS 5.3

参考リンク

GitHub Advisory:https://github.com/open-webui/open-webui/security/advisories/GHSA-m8f9-9whg-f4xr
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-45315
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。