SillyTavern — это локально устанавливаемый пользовательский интерфейс, который позволяет пользователям взаимодействовать с большими языковыми моделями генерации текста, механизмами генерации изображений и голосовыми моделями преобразования текста в речь. До версии 1.17.0 уязвимость обхода пути в /api/chats/import позволяла аутентифицированному злоумышленнику записывать контролируемые злоумышленником файлы за пределами предполагаемого каталога чатов путем внедрения последовательностей обхода в имя_символа. Эта проблема исправлена в версии 1.17.0.
Показать оригинальное описание (EN)
SillyTavern is a locally installed user interface that allows users to interact with text generation large language models, image generation engines, and text-to-speech voice models. Prior to version 1.17.0, a path traversal vulnerability in /api/chats/import allows an authenticated attacker to write attacker-controlled files outside the intended chats directory by injecting traversal sequences into character_name. This issue has been patched in version 1.17.0.
Характеристики атаки
Последствия
Строка CVSS v3.1