CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-21577

Critical
Published: Translated: NVD NIST

Summary

ComfyUI-Ace-Nodes jest podatny na wstrzykiwanie kodu. Węzeł ACE_ExpressionEval zawiera funkcję eval() w swoim punkcie wejścia, która akceptuje dowolne dane kontrolowane przez użytkownika, co pozwala na wykonanie arbitralnego kodu na serwerze.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa serwera oraz danych organizacji.

Recommendation

Zaleca się zaktualizowanie ComfyUI-Ace-Nodes do najnowszej wersji, która eliminuje tę podatność, oraz ograniczenie dostępu do funkcji, które mogą przyjmować dane od użytkowników.

Original NVD description (English source)

ComfyUI-Ace-Nodes is vulnerable to Code Injection. The ACE_ExpressionEval node contains an eval() in its entrypoint function that accepts arbitrary user-controlled data. A user can create a workflow that results in executing arbitrary code on the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS