मुफ्त स्कैन करें
CRITICALCVE-2024-21576CVSS 10

ComfyUI-Bmad-Nodes में कोड इंजेक्शन (Code Injection) की भेद्यता है। यह समस्या BuildColorRangeHSVAdvanced, FilterContour और FindContour कस्टम नोड्स में सत्यापन बाईपास (validation bypass) के कारण है। प्रत्येक नोड के एंट्रीपॉइंट (entrypoint) फ़ंक्शन में, eval को कॉल किया जाता है जिसे एक ऐसे वर्कफ़्लो को उत्पन्न करके ट्रिगर किया जा सकता है जो नोड में एक तैयार स्ट्रिंग (crafted string) इंजेक्ट (inject) करता है। इससे सर्वर पर मनमाना कोड (arbitrary code) निष्पादित किया जा सकता है।

प्लेटफ़ॉर्म

python

घटक

comfyui_bmad_nodes

में ठीक किया गया

*

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CVE-2024-21576 describes a critical code injection vulnerability affecting ComfyUI-Bmad-Nodes, a Python-based extension for ComfyUI. This vulnerability allows attackers to execute arbitrary code on the server by crafting malicious workflow strings. All versions of ComfyUI-Bmad-Nodes are currently affected, and a fix is pending. Users are urged to implement mitigation strategies until an official patch is released.

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

The impact of this vulnerability is severe. An attacker can inject malicious code into a ComfyUI workflow, which, when executed, will run on the server hosting the ComfyUI instance. This could lead to complete system compromise, including data exfiltration, malware installation, and denial of service. The ability to execute arbitrary code grants the attacker significant control over the affected system. The vulnerability's reliance on workflow manipulation makes it particularly concerning, as malicious workflows could be distributed through seemingly legitimate channels, increasing the attack surface. This is similar to vulnerabilities where user-supplied data is directly evaluated without proper sanitization.

शोषण संदर्भअनुवाद हो रहा है…

This vulnerability was publicly disclosed on December 13, 2024. Its CRITICAL CVSS score indicates a high probability of exploitation. The ease of exploitation, combined with the potential for significant impact, makes this a high-priority concern. No public proof-of-concept exploits have been widely reported at the time of writing, but the vulnerability's simplicity suggests that such exploits are likely to emerge. It is not currently listed on CISA KEV.

कौन जोखिम में हैअनुवाद हो रहा है…

Users who have deployed ComfyUI-Bmad-Nodes in production environments, particularly those with public-facing instances or those allowing untrusted users to upload or modify workflows, are at significant risk. Shared hosting environments where multiple users share the same ComfyUI instance are also particularly vulnerable.

पहचान के चरणअनुवाद हो रहा है…

• python / server:

import os
import subprocess

def check_comfyui_nodes():
    try:
        # Check for the vulnerable nodes
        subprocess.run(['python', '-c', 'import comfyui_mad_nodes; print(comfyui_mad_nodes.__version__)'], check=True, capture_output=True)
        print('Vulnerable ComfyUI-Bmad-Nodes detected.')
    except FileNotFoundError:
        print('ComfyUI-Bmad-Nodes not found.')
    except subprocess.CalledProcessError as e:
        print(f'Error checking version: {e}')

check_comfyui_nodes()

• generic web:

curl -I http://your-comfyui-server/ | grep -i 'eval'

• generic web:

 grep -r 'eval' /path/to/comfyui/nodes/

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.04% (12% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H10.0CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकcomfyui_bmad_nodes
विक्रेताbmad4ever
प्रभावित श्रेणीमें ठीक किया गया
0 – **

कमजोरी वर्गीकरण (CWE)

CWE-94

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंडअनुवाद हो रहा है…

While a direct patch is pending, several mitigation steps can reduce the risk. First, restrict access to the ComfyUI server to trusted users only. Implement strict input validation and sanitization on all user-supplied data, particularly within the workflow definition. Consider deploying a Web Application Firewall (WAF) with rules to detect and block suspicious workflow patterns or code injection attempts. Monitor system logs for unusual activity, such as unexpected process executions or file modifications. As a temporary measure, disabling the vulnerable custom nodes (BuildColorRangeHSVAdvanced, FilterContour, FindContour) can prevent exploitation, but will impact functionality. After implementing these measures, verify their effectiveness by attempting to load a known malicious workflow in a controlled environment.

कैसे ठीक करें

ComfyUI-Bmad-Nodes पैकेज को नवीनतम उपलब्ध संस्करण में अपडेट (update) करें। यह कोड इंजेक्शन (Code Injection) की भेद्यता को ठीक कर देगा। अपडेट के बाद ComfyUI को पुनरारंभ (restart) करना सुनिश्चित करें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2024-21576 — Code Injection in ComfyUI-Bmad-Nodes?

CVE-2024-21576 is a critical code injection vulnerability in ComfyUI-Bmad-Nodes allowing attackers to execute arbitrary code on the server through crafted workflow strings. It affects all versions.

Am I affected by CVE-2024-21576 in ComfyUI-Bmad-Nodes?

Yes, all versions of ComfyUI-Bmad-Nodes are currently affected by this vulnerability. If you are using this extension, you are at risk.

How do I fix CVE-2024-21576 in ComfyUI-Bmad-Nodes?

A direct patch is pending. Implement mitigation strategies such as input validation, WAF rules, and restricting access until a fix is released.

Is CVE-2024-21576 being actively exploited?

While no widespread exploitation has been confirmed, the vulnerability's simplicity suggests that exploits are likely to emerge. Monitor your systems closely.

Where can I find the official ComfyUI advisory for CVE-2024-21576?

Refer to the ComfyUI project's official channels (GitHub repository, website) for updates and advisories regarding this vulnerability.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें