Katalog CVE

CVE-2026-44652

ŚrednieCVSS 6.9
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 29 - wyżej niż 29% wszystkich znanych CVE

Streszczenie

SillyTavern to lokalnie zainstalowany interfejs użytkownika, który umożliwia interakcję z modelami generacji tekstu, silnikami generacji obrazów oraz modelami syntezatorów mowy. W wersjach przed 1.18.0, corsProxyMiddleware przekazywał req.params.url bezpośrednio do fetch(url, ...), co umożliwiało ataki typu SSRF.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych organizacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych.

Rekomendacja

Zaleca się aktualizację do wersji 1.18.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony przed atakami SSRF.

Oryginalny opis (angielski, źródło NVD)

SillyTavern is a locally installed user interface that allows users to interact with text generation large language models, image generation engines, and text-to-speech voice models. Prior to 1.18.0, corsProxyMiddleware forwards req.params.url directly into fetch(url, ...). It only blocks circular requests to its own host and does not enforce destination allowlist or private/loopback restrictions, enabling SSRF. This vulnerability is fixed in 1.18.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS