Vulnerabilidad en ComfyUI-Impact-Pack (CVE-2024-21575)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/12/2024
Última modificación:
12/12/2024
Descripción
ComfyUI-Impact-Pack es vulnerable a Path Traversal. El problema surge de la falta de validación del campo `image.filename` en una solicitud POST enviada al endpoint `/upload/temp` agregado por la extensión al servidor. Esto da como resultado la escritura de archivos arbitrarios en el sistema de archivos, lo que puede, en algunas condiciones, provocar una ejecución de código remoto (RCE).
Impacto
Puntuación base 4.0
9.20
Gravedad 4.0
CRÍTICA
Puntuación base 3.x
8.60
Gravedad 3.x
ALTA