一、漏洞詳情

ComfyUI 是一款基于節(jié)點(diǎn)式工作流的Stable Diffusion圖形界面工具，廣泛用于A(yíng)I圖像生成領(lǐng)域。

近日，監(jiān)測(cè)到官方修復(fù)ComfyUI-Manager遠(yuǎn)程代碼執(zhí)行漏洞，默認(rèn)暴露Web API接口用于在線(xiàn)修改配置項(xiàng)，且未對(duì)用戶(hù)輸入中的 \r\n 做過(guò)濾，導(dǎo)致攻擊者可向配置文件中注入惡意換行內(nèi)容；通過(guò)將 security_level等關(guān)鍵配置項(xiàng)篡改為weak，進(jìn)一步結(jié)合插件自帶的Git URL安裝功能，可在服務(wù)器上執(zhí)行任意代碼。

建議受影響用戶(hù)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

二、影響范圍

ComfyUI-Manager < v3.39.2

三、修復(fù)建議

官方已發(fā)布安全補(bǔ)丁，請(qǐng)及時(shí)更新至最新版本：

ComfyUI-Manager >= v3.39.2