1  info:
 2    name: comfyui
 3    cve: CVE-2025-6107
 4    summary: comfyui 0.3.40中的漏洞允许远程操作对象属性。
 5    details: |
 6      在comfyui版本0.3.40的`/comfy/utils.py`中的`set_attr`函数中发现了一个漏洞。这个问题使攻击者能够远程动态确定对象属性。尽管攻击复杂性高且可利用性被认为是困难的，但该漏洞已被公开披露并且可能被利用。供应商已被告知但未回应。
 7    cvss: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L
 8    severity: 低
 9    security_advise: |
10      1. 升级到解决此漏洞的comfyui较新版本。
11      2. 审查并修改`/comfy/utils.py`中的`set_attr`函数，以防止动态属性操作。
12      3. 实施额外的安全措施来监控和限制对敏感功能的远程访问。
13  rule: version <= "0.3.40"
14  references:
15    - https://nvd.nist.gov/vuln/detail/CVE-2025-6107
16    - https://gist.github.com/superboy-zjc/f71b84ed074260a5e459581caa2f1fb2
17    - https://gist.github.com/superboy-zjc/f71b84ed074260a5e459581caa2f1fb2#proof-of-concept
18    - https://vuldb.com/?ctiid.312576
19    - https://vuldb.com/?id.312576
20    - https://vuldb.com/?submit.590921