CVE-2026-45395

Fiche CVE

Node.js / npm Élévation de privilèges

Élévation de privilèges dans open-webui

Cette faille peut permettre à un attaquant d’obtenir des privilèges supérieurs à ceux initialement autorisés sur open-webui, openwebui open_webui.

solution disponible élevé

Détection 100/100 Remédiation 85/100

Catégorisation Node.js / npm

Élévation de privilèges

Que font les attaquants ? Scénario type

Cette faille peut permettre à un attaquant d’obtenir des privilèges supérieurs à ceux initialement autorisés sur open-webui, openwebui open_webui.

Risque si non traité élevé

Le risque est élevé car un accès limité peut être transformé en contrôle renforcé sur le système.

Vous êtes potentiellement concerné si vous exploitez open-webui open-webui dans l’une des versions ou branches suivantes : < 0.9.5. Détection possible en vérifiant la présence des produits affectés open-webui / open-webui, openwebui / open_webui, npm / open-webui. Contrôler les versions et l'exposition des composants référencés.

Éditeur	Produit	Écosystème	Versions connues
open-webui	open-webui	n/d	< 0.9.5
openwebui	open_webui	cpe	n/d
npm	open-webui	npm	0.9.5

Étape 1
Identifiez les instances de open-webui open-webui présentes dans votre périmètre.
Étape 2
Validez si vos versions déployées correspondent aux branches affectées et si le composant est réellement exposé.
Étape 3
Appliquez une mise à jour vers une version corrigée, par exemple : 0.9.5.
Étape 4
Si une mise à jour immédiate n’est pas possible, réduisez l’exposition du composant et renforcez la surveillance applicative.
Étape 5
Détection possible en vérifiant la présence des produits affectés open-webui / open-webui, openwebui / open_webui, npm / open-webui. Contrôler les versions et l'exposition des composants référencés.

Confirmation confirmée

CVE confirmée par une source officielle.

Détection disponible

Détection possible en vérifiant la présence des produits affectés open-webui / open-webui, openwebui / open_webui, npm / open-webui. Contrôler les versions et l'exposition des composants référencés.

Remédiation solution disponible

Version corrigée publiée : 0.9.5.

2026-05-19 03:55 UTC Dernière mise à jour connue mise_a_jour
2026-05-15 20:33 UTC Publication de la CVE publication
2026-05-14 20:26 UTC Version corrigée publiée : 0.9.5. solution_available

Publication: 2026-05-15 20:33 UTC
Dernière mise à jour: 2026-05-19 03:55 UTC
Première détection locale: 2026-06-02 18:43 UTC
Dernier traitement: 2026-06-02 18:43 UTC
Score: 7.2
Source score: NVD cvssMetricV31
Publication fiche: 2026-06-02 18:43 UTC

Référence technique

CVE.org consultée le 2026-06-02 18:42 UTC
NVD consultée le 2026-06-02 18:43 UTC
GitHub Advisory Database consultée le 2026-06-02 18:43 UTC
OSV.dev consultée le 2026-06-02 18:43 UTC

https://github.com/open-webui/open-webui/security/advisories/GHSA-p4fx-23fq-jfg6 x_refsource_CONFIRM
https://nvd.nist.gov/vuln/detail/CVE-2026-45395 ADVISORY
https://github.com/open-webui/open-webui PACKAGE
https://github.com/open-webui/open-webui/releases/tag/v0.9.5 WEB
https://github.com/advisories/GHSA-p4fx-23fq-jfg6 Vendor Advisory

CVE-2026-45395

CVE-2026-45395

Résumé opérationnel

Vérification d’impact

Procédure recommandée

Qualification et chronologie