Open WebUI is a self-hosted artificial intelligence platform designed to operate entirely offline. Prior to 0.8.0, Excel file attachments are previewed in an unsafe way. A crafted XLSX file payload can be used to cause the sheetjs function sheet_to_html to embed an XSS payload into the generated HTML. This is subsequently added to the DOM unsanitized via @html causing the payload to trigger. This vulnerability is fixed in 0.8.0.
Open WebUI versions prior to 0.8.0 contain a stored XSS vulnerability in Excel file preview functionality where crafted XLSX files can inject malicious scripts. The vulnerability exploits unsafe HTML generation from sheet_to_html function without proper sanitization before DOM insertion.
تحتوي ثغرة CVE-2026-44549 على عيب في معالجة ملفات Excel في منصة Open WebUI حيث يمكن لملف XLSX مصنع بعناية أن يحقن رمز JavaScript ضار. يتم تنفيذ الحمولة الضارة عند معاينة الملف دون تصفية أو تنظيف مناسب للمحتوى.
إصدارات Open WebUI السابقة للإصدار 0.8.0 تحتوي على ثغرة XSS مخزنة في وظيفة معاينة ملفات Excel حيث يمكن لملفات XLSX المصنعة حقن برامج نصية ضارة. تستغل الثغرة إنشاء HTML غير آمن من وظيفة sheet_to_html بدون تنظيف مناسب قبل إدراجها في DOM.
Upgrade Open WebUI to version 0.8.0 or later immediately. Implement input validation and HTML sanitization for all file preview functions. Use security libraries like DOMPurify to sanitize HTML before DOM insertion. Disable Excel preview functionality if upgrade is not immediately possible.
قم بترقية Open WebUI إلى الإصدار 0.8.0 أو أحدث على الفور. طبق التحقق من صحة الإدخال وتنظيف HTML لجميع وظائف معاينة الملفات. استخدم مكتبات الأمان مثل DOMPurify لتنظيف HTML قبل إدراجها في DOM. عطل وظيفة معاينة Excel إذا لم تكن الترقية ممكنة على الفور.