ComfyUI-Manager 端程式碼執行漏洞分析與修補方案

近期，ComfyUI-Manager 出現了一個重的遠端程式碼執行漏洞，允許攻擊者在未經驗證的情況下，向受影響的設備發送精心構造的請求，從而執行任意代碼。這個漏洞對於使用 ComfyUI-Manager 的用戶來說是一個重的安全威。

漏洞概述

根據來源 1 的描述，CVE-2024-21574 是一個存在於某些網絡設備中的遠程代碼執行漏洞。該漏洞允許攻擊者在未經驗證的情況下，向受影響的設備發送精心構造的請求，從而執行任意代碼。這個漏洞影響某些型號的路由器和交換機，包括 XXX-100、XXX-200、XXX-300、XXX-400、XXX-500、XXX-600 等。

攻擊者可以利用該漏洞

攻擊者可以利用該漏洞在受影響的設備上執行任意代碼，進而控制設備、取敏感信息或進行其他意活動。這個漏洞對於使用 ComfyUI-Manager 的用戶來說是一個重的安全威，因為攻擊者可以利用這個漏洞來取敏感信息或控制設備。

解決措施

用戶可以採取以下措施來解決該漏洞：

• 更新設備固件：用戶應快更新設備固件至最新版本，以修復該漏洞。
• 限制訪問：用戶應限制對受影響設備的訪問，僅允許信任的 IP 地址訪問設備。
• 用防火：用戶應用防火並配置相關規則，以阻止未經授權的訪問。

ComfyUI-Manager 安裝

根據來源 4 的描述，ComfyUI-Manager 是一個充套件，設計用於增強 ComfyUI 的可用性。它提供了管理功能，以安裝、除、停用和用 ComfyUI 的各種自定義節點。此外，這個充套件還提供了中心功能和便捷功能，以訪問 ComfyUI 中的各種信息。

安裝步

根據來源 4 的描述，ComfyUI-Manager 的安裝步如下：

• 前往 ComfyUI/custom_nodes 目錄
• 使用 git clone 下載 ComfyUI-Manager
• 重新動 ComfyUI
• 安裝 git

參考資料與原文來源

• 原文來源: https://avd.aliyun.com/detail?id=AVD-2024-21574
• 原文來源: https://github.com/Comfy-Org/ComfyUI-Manager
• 原文來源: https://docs.comfy.org/manager/install

MITRE ATT&CK 應

• T1190 – 應的戰術 / 技名稱（例如 Initial Access, Phishing）

這個漏洞對於使用 ComfyUI-Manager 的用戶來說是一個重的安全威。用戶應快更新設備固件至最新版本，以修復該漏洞，並限制對受影響設備的訪問，僅允許信任的 IP 地址訪問設備。同時，應用防火並配置相關規則，以阻止未經授權的訪問。

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。