CVE-2024-10481— ComfyUI 跨站请求伪造漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2024-10481 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Cross-Site Request Forgery (CSRF) in comfyanonymous/comfyui
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
A CSRF vulnerability exists in comfyanonymous/comfyui versions up to v0.2.2. This vulnerability allows attackers to host malicious websites that, when visited by authenticated ComfyUI users, can perform arbitrary API requests on behalf of the user. This can be exploited to perform actions such as uploading arbitrary files via the `/upload/image` endpoint. The lack of CSRF protections on API endpoints like `/upload/image`, `/prompt`, and `/history` leaves users vulnerable to unauthorized actions, which could be combined with other vulnerabilities such as stored-XSS to further compromise user sessions.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
跨站请求伪造(CSRF)
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
ComfyUI 跨站请求伪造漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
ComfyUI是comfyanonymous个人开发者的一个最强大和模块化的扩散模型 GUI 和后端。 ComfyUI v0.2.2及之前版本存在跨站请求伪造漏洞,该漏洞源于CSRF保护不足,可能导致未经授权的API请求。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| comfyanonymous | comfyanonymous/comfyui | unspecified ~ latest | - |
二、漏洞 CVE-2024-10481 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2024-10481 的情报信息
Please 登录 to view more intelligence information
IV. Related Vulnerabilities
V. Comments for CVE-2024-10481
暂无评论