一、漏洞详情
ComfyUI 是一款基于节点式工作流的Stable Diffusion图形界面工具,广泛用于AI图像生成领域。
近日,监测到官方修复ComfyUI-Manager远程代码执行漏洞,默认暴露Web API接口用于在线修改配置项,且未对用户输入中的 \r\n 做过滤,导致攻击者可向配置文件中注入恶意换行内容;通过将 security_level等关键配置项篡改为weak,进一步结合插件自带的Git URL安装功能,可在服务器上执行任意代码。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
ComfyUI-Manager < v3.39.2
三、修复建议
官方已发布安全补丁,请及时更新至最新版本:
ComfyUI-Manager >= v3.39.2
Designed by