Vulnerabilities ›

CVE-2026-44549

High ⚡ Exploit Available

CWE-79 — Weakness Type

                    Published: May 15, 2026                      ·  Modified: May 22, 2026                      ·  Source: NVD                

CVSS v3

7.3

🔗 NVD Official

📄 Description (English)

Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.8.0, Excel file attachments are previewed in an unsafe way. A crafted XLSX file payload can be used to cause the sheetjs function sheet_to_html to embed an XSS payload into the generated HTML. This is subsequently added to the DOM unsanitized via @html causing the payload to trigger. This vulnerability is fixed in 0.8.0.

🤖 AI Executive Summary

Open WebUI versions prior to 0.8.0 contain a stored XSS vulnerability in Excel file preview functionality where crafted XLSX files can inject malicious scripts. The vulnerability exploits unsafe HTML generation from sheet_to_html function without proper sanitization before DOM insertion.

📄 Description (Arabic)

تحتوي ثغرة CVE-2026-44549 على عيب في معالجة ملفات Excel في منصة Open WebUI حيث يمكن لملف XLSX مصنع بعناية أن يحقن رمز JavaScript ضار. يتم تنفيذ الحمولة الضارة عند معاينة الملف دون تصفية أو تنظيف مناسب للمحتوى.

🤖 ملخص تنفيذي (AI)

إصدارات Open WebUI السابقة للإصدار 0.8.0 تحتوي على ثغرة XSS مخزنة في وظيفة معاينة ملفات Excel حيث يمكن لملفات XLSX المصنعة حقن برامج نصية ضارة. تستغل الثغرة إنشاء HTML غير آمن من وظيفة sheet_to_html بدون تنظيف مناسب قبل إدراجها في DOM.

🤖 AI Intelligence Analysis Analyzed: May 21, 2026 02:02

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government healthcare banking energy

🎯 MITRE ATT&CK Techniques

T1566.001 T1059.007 T1204.002

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Open WebUI to version 0.8.0 or later immediately. Implement input validation and HTML sanitization for all file preview functions. Use security libraries like DOMPurify to sanitize HTML before DOM insertion. Disable Excel preview functionality if upgrade is not immediately possible.

🔧 خطوات المعالجة (العربية)

قم بترقية Open WebUI إلى الإصدار 0.8.0 أو أحدث على الفور. طبق التحقق من صحة الإدخال وتنظيف HTML لجميع وظائف معاينة الملفات. استخدم مكتبات الأمان مثل DOMPurify لتنظيف HTML قبل إدراجها في DOM. عطل وظيفة معاينة Excel إذا لم تكن الترقية ممكنة على الفور.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1

🔵 SAMA CSF

ID.RA-2 PR.DS-1 PR.DS-6

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 2

🔗

https://github.com/open-webui/open-webui/security/advisories/GHSA-jwf8-pv5p-vhmc

security-advisories@github.com

Exploit Vendor Advisory

🔗

https://github.com/open-webui/open-webui/security/advisories/GHSA-jwf8-pv5p-vhmc

134c704f-9b21-4f2e-91b3-4a467353bcc0

Exploit Vendor Advisory

📦 Affected Products / CPE 1 entries

openwebui:open_webui

📊 CVSS Score

7.3

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.3

CWECWE-79

EPSS0.03%

Exploit ✓ Yes

Patch ✗ No

Published 2026-05-15

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

exploit-available CWE-79

🏢 Vendor Advisories

🔗 https://github.com/open-webui/open-webui/security/ad... 🔗 https://github.com/open-webui/open-webui/security/ad...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-44549

Introduce Yourself

Sign In Required