CVE-2024-21574 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:ComfyUI-Manager 缺少对 pip 字段的验证。 💥 **后果**:攻击者可触发用户控制的包/URL安装,导致 **RCE(远程代码执行)**。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-94(代码注入)。 📍 **缺陷点**:未校验 pip 安装参数,允许注入恶意指令。
Q3影响谁?(版本/组件)
📦 **组件**:ComfyUI-Manager。 👤 **厂商**:ltdrdata(Dr.Lt.Data 个人开发)。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:服务器级 **RCE**。 📊 **数据**:完全控制服务器,可窃取/篡改所有数据。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:低。 🛡️ **条件**:无需认证(PR:N),无需用户交互(UI:N),网络可达即可(AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **Exp**:数据中未提供现成 PoC。 🌐 **引用**:见 GitHub 源码及修复提交记录。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 ComfyUI-Manager 版本。 📝 **特征**:查看 `manager_server.py` 中 pip 处理逻辑是否含验证。
Q8官方修了吗?(补丁/缓解)
🛠️ **修复**:官方已发布修复提交(commit ffc095a...)。 🔗 **链接**:GitHub 仓库最新代码。
Q9没补丁咋办?(临时规避)
⚠️ **规避**:升级至修复版本。 🚫 **临时**:禁用该扩展或隔离网络,防止恶意请求触发 pip 安装。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高**。 📈 **CVSS**:9.8(Critical)。立即修补,避免服务器沦陷。