漏洞描述
ComfyUI 是一个功能强大的模块化的稳定扩散 GUI、API 和后端。它提供了一个图形/节点界面,用于设计和管理稳定扩散管道。ComfyUI 使用低版本的 aiohttp 组件作为 Web 服务器并配置静态路由,启用了 follow_symlinks 选项,导致存在任意文件读取漏洞。攻击者可通过该漏洞读取泄露源码、数据库配置⽂件等等,导致⽹站处于极度不安全状态。
ComfyUI follow_symlinks 文件读取漏洞(CVE-2024-23334)
PoC代码
暂无