CVE-2024-12534

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-12534
In version v0.3.32 of open-webui/open-webui, the application allows users to submit large payloads in the email and password fields during the sign-in process due to the lack of character length validation on these inputs. This vulnerability can lead to a Denial of Service (DoS) condition when a user submits excessively large strings, exhausting server resources such as CPU, memory, and disk space, and rendering the service unavailable for legitimate users. This makes the server susceptible to resource exhaustion attacks without requiring authentication.

7.5 /10

CVSS v3 : HIGH

V3 Legend

Vector : AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Exploitability : 3.9 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://huntr.com/bounties/c7c0a4e6-acd3-49b4-8684-2c2c27014b76 Exploit Third Party Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:openwebui:open_webui:0.3.32:*:*:*:*:*:*:*
History

18 Jul 2025, 19:59

Type Values Removed Values Added
Summary
  • (es) En la versión v0.3.32 de open-webui/open-webui, la aplicación permite a los usuarios enviar payloads de gran tamaño en los campos de correo electrónico y contraseña durante el inicio de sesión debido a la falta de validación de la longitud de caracteres en estas entradas. Esta vulnerabilidad puede provocar una denegación de servicio (DoS) cuando un usuario envía cadenas excesivamente largas, agotando recursos del servidor como CPU, memoria y espacio en disco, e inhabilitando el servicio para usuarios legítimos. Esto hace que el servidor sea susceptible a ataques de agotamiento de recursos sin necesidad de autenticación.
References () https://huntr.com/bounties/c7c0a4e6-acd3-49b4-8684-2c2c27014b76 - () https://huntr.com/bounties/c7c0a4e6-acd3-49b4-8684-2c2c27014b76 - Exploit, Third Party Advisory
CPE cpe:2.3:a:openwebui:open_webui:0.3.32:*:*:*:*:*:*:*
First Time Openwebui
Openwebui open Webui

20 Mar 2025, 10:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-03-20 10:15

Updated : 2025-07-18 19:59

NVD link : CVE-2024-12534

Mitre link : CVE-2024-12534

CVE.ORG link : CVE-2024-12534

JSON object : View

Products Affected

openwebui

  • open_webui
CWE
CWE-400

Uncontrolled Resource Consumption