PT-2024-18966 · Unknown · Comfyui-Impact-Pack
Raul Onitza-Klugman
·
Publicado
2024-12-12
·
Atualizado
2024-12-12
·
CVE-2024-21575
CVSS v4.0
9.2
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
ComfyUI-Impact-Pack (versões afetadas não especificadas)
Descrição
O problema decorre da falta de validação do campo
image.filename em uma solicitação POST enviada ao endpoint “/upload/temp”, resultando na gravação de arquivos arbitrários no sistema de arquivos, o que pode levar à execução remota de código (RCE) sob certas condições.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Comfyui-Impact-Pack