SillyTavern ist eine lokal installierte Benutzeroberfläche, die für die Interaktion mit verschiedenen KI-Modellen entwickelt wurde, darunter große Sprachmodelle und Bildgenerierungs-Engines. Es bietet eine benutzerfreundliche Möglichkeit, diese KI-Tools von einer lokalen Umgebung aus zu verwalten und zu nutzen.

Welche Schwachstellen wurden in SillyTavern gefunden?

In SillyTavern wurden mehrere Schwachstellen identifiziert, darunter Path-Traversal-Probleme, die unbefugten Dateizugriff ermöglichen, und eine Server-Side Request Forgery (SSRF)-Schwachstelle. Diese Fehler könnten es Angreifern ermöglichen, beliebige Dateien zu lesen oder zu schreiben oder Anfragen an interne Dienste zu stellen.

Wie behebe ich die Schwachstellen in SillyTavern?

Um die identifizierten Schwachstellen zu beheben, sollten Benutzer SillyTavern auf Version 1.17.0 oder höher aktualisieren. Dieses Update enthält Patches, die die Path-Traversal- und SSRF-Probleme beheben und die Sicherheit der Anwendung verbessern.

Was ist eine Path-Traversal-Schwachstelle?

Eine Path-Traversal-Schwachstelle ermöglicht es einem Angreifer, auf Dateien oder Verzeichnisse außerhalb des vorgesehenen Verzeichnisses zuzugreifen. Durch die Manipulation von Dateipfaden kann ein Angreifer potenziell sensible Daten lesen oder beliebigen Code auf dem Server ausführen.

SillyTavern: Mehrere Schwachstellen in Version 1.17.0 behoben

In SillyTavern wurden mehrere Schwachstellen entdeckt, darunter Path-Traversal- und Server-Side Request Forgery (SSRF)-Probleme. Diese Schwachstellen könnten es Angreifern ermöglichen, beliebige Dateien zu lesen oder zu schreiben oder Anfragen an interne Dienste zu stellen. Benutzern, die betroffene Versionen verwenden, wird dringend empfohlen, auf Version 1.17.0 zu aktualisieren, um diese Risiken zu mindern.

Diese Schwachstellen reichen von mittlerem bis hohem Schweregrad und können potenziell zu Datenverlust führen.

Was ist Sillytavern?

SillyTavern ist eine lokal installierte Benutzeroberfläche, die für die Interaktion mit verschiedenen KI-Modellen entwickelt wurde, darunter große Sprachmodelle, Bildgenerierungs-Engines und Text-to-Speech-Systeme. Es bietet eine benutzerfreundliche Möglichkeit, diese KI-Tools zu verwalten und zu nutzen. Um mehr zu erfahren, können Sie alle Sillytavern CVEs durchsuchen. SillyTavern ermöglicht es Benutzern, ihre Interaktionen mit KI-Modellen durch verschiedene Einstellungen und Konfigurationen anzupassen. Schwachstellen in der Anwendung können jedoch Benutzerdaten und das zugrunde liegende System potenziellen Risiken aussetzen. Daher ist es entscheidend, SillyTavern auf dem neuesten Stand zu halten, um eine sichere Umgebung zu gewährleisten.

CVE-2026-34526: SSRF durch unvollständige IP-Validierung

CVSS5.0

Betroffene VersionenSillyTavern-Versionen vor 1.17.0 sind betroffen.

Mittlerer Schweregrad aufgrund begrenzter SSRF-Ausnutzung.

EPSS-Score nicht verfügbar.

Die IP-Validierung von SillyTavern im `/api/search/visit`-Endpunkt ist unvollständig, was Server-Side Request Forgery (SSRF) ermöglicht. Ein Angreifer kann die Validierung mit `localhost`, IPv6-Loopback (`[::1]`) oder DNS-Namen umgehen, die zu internen Adressen auflösen, und potenziell auf interne Dienste zugreifen.

So beheben Sie CVE-2026-34526 in SillyTavern

Innerhalb von 7 Tagen patchen

1.Aktualisieren Sie SillyTavern auf Version 1.17.0 oder höher.

SillyTavern aktualisieren

npm update sillytavern

Workaround: Kein bekannter Workaround.

NextGuard kennzeichnet CVE-2026-34526 automatisch, wenn SillyTavern in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

CVE-2026-34524: Path Traversal in Chat-Endpunkten

CVSS8.3

Betroffene VersionenSillyTavern-Versionen vor 1.17.0 sind betroffen.

Hoher Schweregrad aufgrund des Lesens/Löschens beliebiger Dateien.

EPSS-Score nicht verfügbar.

In den Endpunkten `/api/chats/export` und `/api/chats/delete` von SillyTavern besteht eine Path-Traversal-Schwachstelle. Ein authentifizierter Angreifer kann beliebige Dateien innerhalb des Benutzerdatenstamms lesen und löschen, indem er den Parameter `avatar_url` manipuliert.

So beheben Sie CVE-2026-34524 in SillyTavern

Sofort patchen

1.Aktualisieren Sie SillyTavern auf Version 1.17.0 oder höher.

SillyTavern aktualisieren

npm update sillytavern

Workaround: Kein bekannter Workaround.

NextGuard kennzeichnet CVE-2026-34524 automatisch, wenn SillyTavern in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

CVE-2026-34523: File Existence Oracle über Path Traversal

CVSS5.3

Betroffene VersionenSillyTavern-Versionen vor 1.17.0 sind betroffen.

Mittlerer Schweregrad aufgrund der Offenlegung der Dateiexistenz.

EPSS-Score nicht verfügbar.

Eine Path-Traversal-Schwachstelle im Handler für statische Dateien von SillyTavern ermöglicht es nicht authentifizierten Benutzern, die Existenz von Dateien auf dem Dateisystem des Servers zu bestimmen. Durch die Verwendung von Prozent-codierten `../`-Sequenzen in Anfragen kann ein Angreifer die Existenz von Dateien überprüfen.

So beheben Sie CVE-2026-34523 in SillyTavern

Innerhalb von 7 Tagen patchen

1.Aktualisieren Sie SillyTavern auf Version 1.17.0 oder höher.

SillyTavern aktualisieren

npm update sillytavern

Workaround: Kein bekannter Workaround.

NextGuard kennzeichnet CVE-2026-34523 automatisch, wenn SillyTavern in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

CVE-2026-34522: Path Traversal in `/api/chats/import`

CVSS8.1

Betroffene VersionenSillyTavern-Versionen vor 1.17.0 sind betroffen.

Hoher Schweregrad aufgrund des Schreibens beliebiger Dateien.

EPSS-Score nicht verfügbar.

Eine Path-Traversal-Schwachstelle im Endpunkt `/api/chats/import` von SillyTavern ermöglicht es authentifizierten Angreifern, Dateien außerhalb des vorgesehenen Chat-Verzeichnisses zu schreiben. Durch das Einfügen von Traversal-Sequenzen in den Parameter `character_name` kann ein Angreifer beliebige Dateien schreiben.

So beheben Sie CVE-2026-34522 in SillyTavern

Sofort patchen

1.Aktualisieren Sie SillyTavern auf Version 1.17.0 oder höher.

SillyTavern aktualisieren

npm update sillytavern

Workaround: Kein bekannter Workaround.

NextGuard kennzeichnet CVE-2026-34522 automatisch, wenn SillyTavern in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

Behalten Sie den Überblick über nodejs-Schwachstellen

Verwalten Sie proaktiv die Sicherheit Ihrer Anwendung, indem Sie Schwachstellen identifizieren und beheben. Verwenden Sie NextGuard, um Ihre nodejs-Abhängigkeiten zu überwachen und Benachrichtigungen über neue Bedrohungen zu erhalten.

Pläne vergleichen

Häufig gestellte Fragen

In SillyTavern wurden mehrere Schwachstellen entdeckt, die in Version 1.17.0 behoben wurden. Es ist wichtig, auf die neueste Version zu aktualisieren, um die Sicherheit Ihrer Anwendung zu gewährleisten. Alle nodejs-Schwachstellen anzeigen.

Verwandte Themen

Path TraversalSSRFNode.js SicherheitAnwendungssicherheitSchwachstellenmanagement