Katalog CVE

CVE-2026-13493

NiskieCVSS 3.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

W ComfyUI-Copilot do wersji 2.0.28 znaleziono lukę w obsłudze przywracania punktów kontrolnych przepływu pracy. Problem dotyczy nieznanego przetwarzania w pliku backend/controller/conversation_api.py, co prowadzi do nieprawidłowej kontroli identyfikatorów zasobów. Atak może być przeprowadzony zdalnie, ale jest trudny do wykonania ze względu na wysoką złożoność.

Ocena ryzyka

Organizacja narażona jest na zdalne manipulowanie identyfikatorami zasobów, co może umożliwić nieautoryzowany dostęp do danych lub zakłócenie działania systemu. Ze względu na wysoką złożoność ataku ryzyko jest umiarkowane, ale exploit jest już publicznie dostępny.

Rekomendacja

Należy natychmiast zastosować dostępne poprawki lub zaktualizować ComfyUI-Copilot do wersji powyżej 2.0.28, gdy tylko zostanie wydana. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu sieciowego i monitorowanie podejrzanych żądań.

Oryginalny opis (angielski, źródło NVD)

A flaw has been found in AIDC-AI ComfyUI-Copilot up to 2.0.28. This issue affects some unknown processing of the file backend/controller/conversation_api.py of the component Workflow Checkpoint Restore Handler. Executing a manipulation can lead to improper control of resource identifiers. The attack may be performed from remote. A high complexity level is associated with this attack. The exploitability is assessed as difficult. The exploit has been published and may be used. The pull request to fix this issue awaits acceptance.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS