CVE-2026-29070Open WebUI 是一个支持离线运行的自托管 AI 平台。在 0.8.6 版本之前,系统在删除知识库文件时存在严重的访问控制缺陷。尽管系统验证了用户对知识库的写入权限,但未验证待删除文件是否属于该特定知识库。因此,攻击者若获知文件 ID,即可删除任意知识库中的文件,造成数据完整性破坏。该漏洞已在 0.8.6 版本中修复。
该漏洞原理属于典型的访问控制失效,具体表现为不安全的直接对象引用(IDOR)。在 Open WebUI 的后端代码逻辑中,当处理删除知识库内文件的请求时,系统仅校验了发起请求的当前用户是否对目标知识库拥有写入权限或管理员权限。关键的安全缺陷在于,系统并未验证请求参数中指定的“文件 ID”是否确实存储于该特定“知识库 ID”下。因此,攻击者只需拥有系统中任意一个知识库的写入权限,并结合已知的其他文件 ID(可能通过猜测、枚举或信息泄露获得),即可构造恶意 HTTP 请求。服务端接受请求后,会错误地执行删除操作,导致不属于攻击者权限范围内的数据被永久删除,严重破坏了数据的完整性和隔离性。