Vulnerabilidad en open-webui (CVE-2026-26192)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

19/02/2026

Última modificación:

20/02/2026

Descripción

Open WebUI es una plataforma de inteligencia artificial autoalojada diseñada para operar completamente sin conexión. Antes de la versión 0.7.0, la modificación manual del historial de chat permite establecer la propiedad &#39;html&#39; dentro de los metadatos del documento. Esto hace que el frontend entre en una ruta de código que trata el contenido del documento como HTML y los renderiza en un iFrame cuando se previsualiza la cita. Esto permite XSS almacenado a través de una carga útil de documento maliciosa en un chat. La carga útil también se ejecuta cuando se visualiza la cita en un chat compartido. La versión 0.7.0 soluciona el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.30 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno