Impatto Sistemico

Alto (74.48)

Sintesi

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2026-44565 – già sanata dal vendor – presente in Open WebUI, piattaforma di intelligenza artificiale progettata per funzionare completamente offline. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di scrivere o eliminare file arbitrari sul filesystem del sistema target.

Tipologia

Arbitrary File Write/Delete

Descrizione e potenziali impatti

Disponibile un Proof of Concept (PoC) per lo sfruttamento CVE-2026-44565 – già sanata dal vendor – presente in Open WebUI, piattaforma di intelligenza artificiale progettata per funzionare completamente offline.

Tale vulnerabilità – di tipo “ Path Traversal ” e con score CVSS v3.1 pari a 8.1 – risiede nell’endpoint HTTP di upload file ( /models/upload ), utilizzato dalla web interface, ed è dovuta a un’insufficiente validazione e sanitizzazione del parametro ( file.filename ) fornito nella richiesta HTTP: questo valore viene infatti concatenato direttamente al percorso della directory di upload senza adeguati controlli. Tale condizione, consente l’introduzione di sequenze di path traversal nel filename, permettendo di forzare la scrittura al di fuori dalla directory prevista. Inoltre, poiché il file viene successivamente eliminato dal sistema, è possibile sfruttare la vulnerabilità anche per cancellare file arbitrari. Un utente malintenzionato, tramite richiesta di upload opportunamente predisposta, potrebbe scrivere/eliminare file arbitrari sul filesystem dei sistemi target, nei limiti dei permessi del processo applicativo.

Prodotti e versioni affette

open-webui, versione 0.6.9 e precedenti

Azioni di mitigazione

Ove non già provveduto, si raccomanda l’applicazione delle patch di sicurezza più recenti fornite dal vendor.