exploitDog

CVE-2025-63391

Опубликовано: 18 дек. 2025

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Описание

An authentication bypass vulnerability exists in Open-WebUI <=0.6.32 in the /api/config endpoint. The endpoint lacks proper authentication and authorization controls, exposing sensitive system configuration data to unauthenticated remote attackers.

Ссылки

https://gist.github.com/Cristliu/13c41b97285b776275bc8bfd3504e51b
Third Party Advisory
https://gist.github.com/Cristliu/889471313b3c698fff74d32b7717807c
https://github.com/open-webui/open-webui/issues
Issue Tracking

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:openwebui:open_webui:*:*:*:*:*:*:*:*

Версия до 0.6.32 (включая)

EPSS

Процентиль: 39%

0.00173

Низкий

7.5 High

CVSS3

Дефекты

CWE-306

Связанные уязвимости

GHSA-hqhc-8hp4-hrwc

CVSS3: 7.5

github

около 2 месяцев назад

An authentication bypass vulnerability exists in Open-WebUI <=0.6.32 in the /api/config endpoint. The endpoint lacks proper authentication and authorization controls, exposing sensitive system configuration data to unauthenticated remote attackers.

EPSS

Процентиль: 39%

0.00173

Низкий

7.5 High

CVSS3

Дефекты

CWE-306