CVE-2026-26286

Nome do Software Vulnerável e Versões Afetadas Versões do SillyTavern anteriores a 1.16.0

Descrição O SillyTavern é uma interface de usuário instalada localmente para interagir com grandes modelos de linguagem, mecanismos de geração de imagens e modelos de voz texto-para-fala. Existe uma Falsificação de Solicitação do Lado do Servidor (SSRF) no endpoint de download de ativos para versões anteriores a 1.16.0. Isso permite que usuários autenticados façam solicitações HTTP arbitrárias a partir do servidor e leiam o corpo completo da resposta, potencialmente permitindo acesso a serviços internos, metadados da nuvem e recursos de rede privada. O problema foi resolvido por uma verificação de whitelist de domínios para solicitações de download de ativos, introduzida na versão 1.16.0, configurável por meio do array whitelistImportDomains no arquivo config.yaml.

Recomendações Atualize para a versão 1.16.0 ou posterior do SillyTavern. Revise e personalize o array whitelistImportDomains no arquivo config.yaml para garantir restrições apropriadas nas solicitações de download de ativos.