Greg-Kim

**Nome do Software Vulnerável e Versões Afetadas** SillyTavern versões anteriores a 1.18.0 **Description** Existe um problema no endpoint "/api/extensions/delete" que aceita o valor "." para a variável `extensionName`. Isso ignora a validação do `sanitize-filename`, que converte o ponto em uma string vazia, fazendo com que a aplicação resolva o caminho para o diretório base de extensões. Consequentemente, todo o diretório de extensões do usuário é excluído recursivamente. Na configuração padrão, nenhuma autenticação é necessária para realizar esta ação. Comportamento semelhante também está presente nos endpoints "/api/extensions/update", "/api/extensions/version", "/api/extensions/branches" e "/api/extensions/switch". **Recommendations** Atualize para a versão 1.18.0. Como medida paliativa temporária, restrinja o acesso de rede à instância do SillyTavern para evitar solicitações não autorizadas aos endpoints de API afetados.