Eric-C

**Name of the Vulnerable Software and Affected Versions** ComfyUI versões anteriores a 0.13.0 **Description** Um problema de path traversal existe no Model Preview Endpoint dentro da função `get model preview()` do arquivo `app/model manager.py`. Esta falha permite que um invasor remoto manipule caminhos de arquivos para acessar diretórios não autorizados. **Recommendations** Atualize para uma versão posterior a 0.13.0. Como medida paliativa temporária, restrinja o acesso à função `get model preview()` até que uma correção seja aplicada.

A vulnerability has been found in ComfyUI up to 0.13.0. Affected by this vulnerability is the function getuserdata of the file app/user manager.py of the component userdata Endpoint. Such manipulation leads to cross site scripting. The attack can be executed remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

**Name of the Vulnerable Software and Affected Versions** ComfyUI versões anteriores a 0.13.0 **Description** Uma falha no componente View Endpoint dentro do arquivo `server.py` permite a execução de cross site scripting remotamente. Cross site scripting é um tipo de brecha de segurança onde scripts maliciosos são injetados em sites anteriormente confiáveis. **Recommendations** Atualize para uma versão posterior a 0.13.0. Como medida paliativa temporária, restrinja o acesso ao componente View Endpoint para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** ComfyUI versões anteriores a 0.13.1 **Description** Um problema de falsificação de solicitação cross-site existe na função `create origin only middleware()` dentro do arquivo server.py. Esta falha permite que um invasor remoto inicie solicitações não autorizadas ao manipular a aplicação. **Recommendations** Atualize para uma versão posterior a 0.13.0. Como medida paliativa temporária, considere restringir o acesso à função `create origin only middleware()` até que uma correção seja aplicada.

**Name of the Vulnerable Software and Affected Versions** ComfyUI versões anteriores a 0.13.0 **Description** Uma falha de path traversal existe no componente LoadImage Node, especificamente na função `folder paths.get annotated filepath()` do arquivo `folder paths.py`. Este problema ocorre devido à manipulação inadequada do argumento `Name`, permitindo a exploração remota. **Recommendations** Atualize para uma versão posterior a 0.13.0. Como medida paliativa temporária, restrinja o acesso à função `folder paths.get annotated filepath()` até que a atualização seja aplicada.

Name of the Vulnerable Software and Affected Versions FoundationAgents MetaGPT versões até 0.8.1 Description Uma falha existe na função Terminal.run command dentro da biblioteca metagpt/tools/libs/terminal.py. Isso permite a injeção de comandos do sistema operacional, potencialmente permitindo a exploração remota. A exploração foi divulgada publicamente. Recommendations Aplique o patch d04ffc8dc67903e8b327f78ec121df5e190ffc7b.

**Nome do Software Vulnerável e Versões Afetadas** FoundationAgents MetaGPT versões anteriores a 0.8.2 **Descrição** Uma falha no componente XML Handler permite que atacantes remotos causem a neutralização inadequada de diretivas em código avaliado dinamicamente. Este problema ocorre na função `ActionNode.xml fill()` localizada no arquivo `metagpt/actions/action node.py`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, considere restringir o uso da função `ActionNode.xml fill()`.