open-webui: Vulnerabilidade de movimentação de eventos entre calendários sem validação de permissão

O endpoint POST /api/v1/calendars/events/{event_id}/update valida acesso de escrita ao calendário de origem, mas não valida o campo destination calendar_id no corpo da requisição, permitindo que um usuário mova um evento para qualquer calendário cujo ID conheça.

Todos os usuários do open-webui com configuração padrão (ENABLE_CALENDAR e USER_PERMISSIONS_FEATURES_CALENDAR ambos True). Um usuário com acesso somente leitura a um calendário compartilhado pode escalar para escrita, e qualquer usuário pode injetar eventos em calendários de outros usuários.

Aplique a correção adicionando uma verificação de permissão de escrita no calendário de destino no endpoint update_event, ou desabilite o recurso de calendário se não for necessário.