ComfyUI-Manager 远程代码执行风险通告
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
腾讯玄武实验室发现ComfyUI-Manager存在高危漏洞(CVE-2025-67303),可导致远程系统入侵。该漏洞已在v3.38版本中修复,建议用户立即升级并备份数据。
🎯
关键要点
- 腾讯玄武实验室发现ComfyUI-Manager存在高危漏洞(CVE-2025-67303)。
- 该漏洞可导致远程系统入侵,无需任何账号。
- 漏洞已在ComfyUI-Manager v3.38版本中修复。
- ComfyUI是基于节点式工作流的Stable Diffusion专业图形界面。
- ComfyUI-Manager负责管理自定义节点、模型和更新的安装。
- 漏洞允许攻击者实现远程代码执行,完全控制服务器。
- 漏洞由腾讯玄武实验室的RicterZ发现并报告。
- 漏洞风险等级为高风险,可能导致用户数据和私有AI模型被盗。
- 受影响版本为ComfyUI-Manager版本小于v3.38。
- 安全版本为ComfyUI-Manager版本大于等于v3.38。
- 建议用户立即升级至v3.38或更高版本,并进行数据备份。
- 版本更新后需手动进行数据迁移,参考官方发布的迁移指南。
- 确保ComfyUI已更新至支持“系统用户保护API”的版本。
- 建议避免将ComfyUI服务暴露在公共网络。
➡️
