CVE-2024-21576
KrytyczneStreszczenie
ComfyUI-Bmad-Nodes jest podatny na wstrzykiwanie kodu. Problem wynika z ominięcia walidacji w niestandardowych węzłach BuildColorRangeHSVAdvanced, FilterContour i FindContour, gdzie w funkcji wejściowej każdego węzła wywoływana jest funkcja eval, co może prowadzić do wykonania dowolnego kodu na serwerze.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa serwera i danych organizacji.
Rekomendacja
Zaleca się aktualizację ComfyUI-Bmad-Nodes do najnowszej wersji, która naprawia tę podatność oraz wprowadzenie dodatkowych mechanizmów walidacji danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
ComfyUI-Bmad-Nodes is vulnerable to Code Injection. The issue stems from a validation bypass in the BuildColorRangeHSVAdvanced, FilterContour and FindContour custom nodes. In the entrypoint function to each node, there’s a call to eval which can be triggered by generating a workflow that injects a crafted string into the node. This can result in executing arbitrary code on the server.

