CVE-2026-44557Open WebUI是一个自托管的人工智能平台。在0.9.0版本之前,由于_validate_collection_access函数使用了不完整的白名单机制,未对user-memory-*和file-*以外的集合(如系统级knowledge-bases元集合)进行所有权校验。这导致任何经过身份验证的用户都可以通过检索查询端点直接查询该元集合,从而获取实例上所有知识库的全局索引信息,造成信息泄露。
该漏洞的根本原因在于Open WebUI后端代码中`_validate_collection_access`函数的访问控制逻辑缺陷。该函数设计初衷是对集合访问进行权限校验,但其实现仅针对特定的命名模式(如`user-memory-*`和`file-*`)强制执行所有权检查。对于不符合这些模式的集合名称,系统默认放行,未进一步验证请求者是否具有访问权限。具体而言,系统级元集合“knowledge-bases”存储了实例上所有知识库的ID、名称和描述等敏感元数据。由于它不匹配受保护的命名模式,攻击者只需拥有低权限账号,即可构造特定的检索查询请求,直接访问该元集合。这绕过了预期的多租户隔离机制,使得攻击者能够遍历和导出其他用户的私有知识库信息,获取全局索引。这属于典型的水平越权漏洞,严重破坏了数据的机密性隔离。