CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-44650

Critical
Published: Translated: NVD NIST

Summary

SillyTavern to lokalnie zainstalowany interfejs użytkownika, który umożliwia interakcję z modelami generacji tekstu, silnikami generacji obrazów oraz modelami syntezatorów mowy. W wersjach przed 1.18.0, punkt końcowy POST /api/extensions/delete akceptuje extensionName: '.', co omija walidację sanitize-filename, powodując rekurencyjne usunięcie całego katalogu rozszerzeń użytkownika.

Risk Assessment

Brak wymagań dotyczących uwierzytelnienia w domyślnej konfiguracji sprawia, że atakujący może łatwo usunąć wszystkie rozszerzenia użytkownika, co prowadzi do utraty danych i potencjalnych przestojów w działaniu aplikacji.

Recommendation

Zaleca się aktualizację do wersji 1.18.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć wprowadzenie mechanizmów uwierzytelniania dla krytycznych punktów końcowych API.

Original NVD description (English source)

SillyTavern is a locally installed user interface that allows users to interact with text generation large language models, image generation engines, and text-to-speech voice models. Prior to 1.18.0, POST /api/extensions/delete endpoint accepts extensionName: "." which bypasses sanitize-filename validation, causing the entire user extensions directory to be recursively deleted. No authentication is required in the default configuration. This vulnerability is fixed in 1.18.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS