CVE-2024-21577
KrytyczneStreszczenie
ComfyUI-Ace-Nodes jest podatny na wstrzykiwanie kodu. Węzeł ACE_ExpressionEval zawiera funkcję eval() w swoim punkcie wejścia, która akceptuje dowolne dane kontrolowane przez użytkownika, co pozwala na wykonanie arbitralnego kodu na serwerze.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa serwera oraz danych organizacji.
Rekomendacja
Zaleca się zaktualizowanie ComfyUI-Ace-Nodes do najnowszej wersji, która eliminuje tę podatność, oraz ograniczenie dostępu do funkcji, które mogą przyjmować dane od użytkowników.
Oryginalny opis (angielski, źródło NVD)
ComfyUI-Ace-Nodes is vulnerable to Code Injection. The ACE_ExpressionEval node contains an eval() in its entrypoint function that accepts arbitrary user-controlled data. A user can create a workflow that results in executing arbitrary code on the server.

