CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-44652

MediumCVSS 6.9
Published: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.38%

29th percentile - higher than 29% of all known CVEs

Summary

SillyTavern to lokalnie zainstalowany interfejs użytkownika, który umożliwia interakcję z modelami generacji tekstu, silnikami generacji obrazów oraz modelami syntezatorów mowy. W wersjach przed 1.18.0, corsProxyMiddleware przekazywał req.params.url bezpośrednio do fetch(url, ...), co umożliwiało ataki typu SSRF.

Risk Assessment

Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych organizacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych.

Recommendation

Zaleca się aktualizację do wersji 1.18.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony przed atakami SSRF.

Original NVD description (English source)

SillyTavern is a locally installed user interface that allows users to interact with text generation large language models, image generation engines, and text-to-speech voice models. Prior to 1.18.0, corsProxyMiddleware forwards req.params.url directly into fetch(url, ...). It only blocks circular requests to its own host and does not enforce destination allowlist or private/loopback restrictions, enabling SSRF. This vulnerability is fixed in 1.18.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS