SillyTavern 高危远程攻击漏洞CVE-2025-59159

SillyTavern是一款本地安装用户界面，也称酒馆，允许用户与文本生成的大型语言模型、图像生成引擎和文本到语音的语音模型进行交互。

SillyTavern作为本地安装的界面，允许用户与文本生成 AI（LLMs）互动，以聊天和角色扮演自定义角色，是用户与AI模型之间的“中间人”。

一、基本情况

SillyTavern 是一款专为深度AI交互爱好者设计的​本地部署角色扮演工具，核心功能在于连接不同的大语言模型，该产品具有广泛用户基础。

SillyTavern 可作为OpenAI、Anthropic Claude、KoboldAI、Mistral 等模型API个人前端，帮用户实现高度自由化虚拟角色对话与剧情创作。

SillyTavern 本身不生成内容，而是通过灵活接入第三方模型（如Claude 3等），让创作者突破传统聊天机器人限制，打造个性化交互体验。

栋科技漏洞库关注到SillyTavern受影响版本中存在一个安全漏洞，漏洞现在已经被追踪为CVE-2025-59159，漏洞的CVSS 3.X评分为9.7。

二、漏洞分析

CVE-2025-59159是存在于SillyTavern中的严重安全漏洞，当版本低于1.13.4的情况下，其网络用户界面容易受到DNS重绑定攻击的影响。

具体而言，SillySavern的web UI易受DNS重新绑定影响，允许攻击者执行安装恶意扩展、读取聊天记录、为钓鱼内容注入任意HTML操作。

漏洞源于 SillyTavern 的 Web 界面未充分验证主机身份，攻击者可通过绕过浏览器的跨源资源共享（CORS）限制实施 DNS 重绑定攻击。

DNS 重绑定通过欺骗浏览器将站点 DNS 地址解析为127.0.0.1等地址绕过CORS策略，任何人都能通过网站远程访问任意SillyAvern实例。

这意味着，攻击者利用恶意网站可诱导受害者浏览器将本地 SillyTavern 实例识别为受信任域，使攻击者获得后端 API 的未授权访问权限。

攻击者可以悄无声息地窃取敏感聊天记录、部署恶意扩展，甚至通过 HTML 注入实施钓鱼攻击，当然，基本上能完全控制你的SillyTavern。

三、POC概念验证

1、在端口8000的web服务器上的/rebind.HTML端点（或任何其他端点）上托管PoC HTML文件

2、首选https://lock.cmpxchg8b.com/rebinder.html并输入您的IP地址（A）以重新绑定到127.0.0.1（B）

3、将HTML中的URL替换为网站上返回的URL

4、如果您使用的是termux，请在firefox或任何移动浏览器上访问http://[URL]:8000/rebind.html

5、检查开发人员工具控制台，它应该返回所有数据

四、影响范围

SillyTavern < 1.13.4

五、修复建议

SillyTavern >= 1.13.4

六、参考链接

管理员已设置登录后刷新可查看