Katalog CVE

CVE-2024-21576

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

ComfyUI-Bmad-Nodes jest podatny na wstrzykiwanie kodu. Problem wynika z ominięcia walidacji w niestandardowych węzłach BuildColorRangeHSVAdvanced, FilterContour i FindContour, gdzie w funkcji wejściowej każdego węzła wywoływana jest funkcja eval, co może prowadzić do wykonania dowolnego kodu na serwerze.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa serwera i danych organizacji.

Rekomendacja

Zaleca się aktualizację ComfyUI-Bmad-Nodes do najnowszej wersji, która naprawia tę podatność oraz wprowadzenie dodatkowych mechanizmów walidacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

ComfyUI-Bmad-Nodes is vulnerable to Code Injection. The issue stems from a validation bypass in the BuildColorRangeHSVAdvanced, FilterContour and FindContour custom nodes. In the entrypoint function to each node, there’s a call to eval which can be triggered by generating a workflow that injects a crafted string into the node. This can result in executing arbitrary code on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS