CVE-2026-44648 in SillyTavernالمعلومات

الملخص

بحسب VulDB • 01/06/2026

SillyTavern هو واجهة مستخدم تُثبَّت محلياً وتتيح للمستخدمين التفاعل مع نماذج لغوية كبيرة لتوليد النصوص، ومحركات توليد الصور، ونماذج تحويل النص إلى كلام. قبل الإصدار 1.18.0، يعتمد SillyTavern على جلسة ملفات تعريف الارتباط (cookie-session) للمصادقة، حيث يخزن جميع بيانات الجلسة (اسم المستخدم، الأذونات) في ملف تعريف ارتباط موقَّع. تُحدِّث نقاط النهاية POST /api/users/change-password وPOST /api/users/recover-step2 تجزئة كلمة المرور في قاعدة البيانات فقط، ولا تقوم بإنهاء الجلسات الحالية. ونظراً لأن الجلسة عديمة الحالة (stateless) ومخزَّنة بالكامل في ملف تعريف الارتباط الخاص بالعميل، فلا توجد آلية على جانب الخادم لسحب صلاحية الرمز (token) بمجرد إصداره. تم إصلاح هذا الثغرة في الإصدار 1.18.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

07/05/2026

إفشاء

29/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-367337

CPE

جاهز

CWE

CWE-613 (مؤكد)

CVSS

7.5 (CNA)

EPSS

0.00016

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44648
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44648
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44648/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!