CVE-2024-21576 — 神龙十问 AI 深度分析摘要

🚨 **本质**：ComfyUI Bmad Nodes 存在**验证绕过**漏洞。 💥 **后果**：攻击者可在服务器上执行**任意代码**，彻底失控。

🔍 **CWE**：CWE-94（代码注入）。 📍 **缺陷点**：`BuildColorRangeHSVAdvanced`、`FilterContour`、`FindContour` 节点缺乏严格输入验证。

👥 **受影响者**：使用 **ComfyUI-Bmad-Nodes** 插件的用户。 👤 **开发者**：bmad4ever。 📦 **组件**：上述三个自定义节点。

🔓 **权限**：获得服务器**系统级权限**。 📊 **数据**：可读取、修改、删除服务器上的**任意数据**，甚至控制整个环境。

📉 **门槛**：**极低**。 🔑 **认证**：无需认证 (PR:N)。 🌐 **网络**：网络可达即可 (AV:N)。 ⚙️ **复杂度**：低复杂度 (AC:L)。

📄 **Exp**：官方数据中 **PoC 为空** (pocs: [])。 🌍 **在野**：暂无公开在野利用报告，但风险极高。

🔎 **自查**：检查 ComfyUI 是否安装了 **Bmad Nodes**。 📂 **定位**：查看 `cv_nodes.py` 文件，关注第 **1814** 行附近的节点逻辑。

🛠️ **补丁**：数据未提供具体补丁链接。 🔗 **参考**：建议查看 GitHub 仓库提交记录，寻找针对验证逻辑的修复。

🛡️ **规避**： 1. **禁用**受影响的三个节点。 2. **隔离**运行环境，限制网络访问。 3. **升级**插件至最新修复版本（如有）。

🔥 **优先级**：**紧急**。 ⚠️ **CVSS**：9.1 (Critical)。 💡 **建议**：立即停止使用受影响节点，防止服务器被完全接管。