CVE-2026-46372

Nome do Software Vulnerável e Versões Afetadas SillyTavern versões anteriores a 1.18.0

Description O SillyTavern é uma interface de usuário instalada localmente para interagir com grandes modelos de linguagem, mecanismos de geração de imagens e modelos de voz de texto para fala. A aplicação contém um problema de Server-Side Request Forgery (SSRF)—uma falha onde um servidor é enganado para fazer requisições a um local não pretendido—através do endpoint '/api/search/searxng'. Um usuário autenticado de baixo privilégio pode fornecer a variável baseUrl maliciosa, que o servidor utiliza para construir buscas externas sem realizar a validação de allowlist, intervalo de IP, DNS ou esquema. Isso permite que um invasor direcione a requisição para serviços HTTP internos ou de loopback e receba o corpo da resposta, potencialmente expondo informações de painéis administrativos internos, serviços de desenvolvimento ou endpoints de metadados de nuvem.

Recommendations Atualize para a versão 1.18.0. Ative e configure adequadamente o filtro de Private Request Whitelisting, especialmente quando a instância estiver sendo hospedada em uma rede.