CVE-2026-34522

Nome do Software Vulnerável e Versões Afetadas SillyTavern versões anteriores a 1.17.0

Descrição Uma vulnerabilidade de path traversal existe no endpoint da API /api/chats/import. Um invasor autenticado pode gravar arquivos em locais fora do diretório de chats pretendido injetando sequências de traversal no parâmetro character name. O parâmetro character name é usado sem a devida sanitização ao construir o nome do arquivo de destino. Isso permite que um invasor escape da estrutura de diretórios pretendida e grave arquivos em locais arbitrários, como /tmp/..., levando potencialmente a problemas de integridade e disponibilidade.

Recomendações Atualize para a versão 1.17.0 ou posterior do SillyTavern.