ComfyUI是一款基于节点式工作流的Stable Diffusion专业图形界面，是开源AI绘画领域的核心项目之一。ComfyUI-Manager是ComfyUI的官方扩展管理器，负责管理自定义节点、模型和更新的安装。该产品的 /api/manager/ 接口存在CRLF注入漏洞，攻击者可以通过在HTTP查询参数中注入回车符（\r）或换行符（\n），向配置文件config.ini中写入任意键值对，从而篡改安全关键设置。攻击者可以将security_level从normal降级为weak，进而结合其他攻击链实现远程代码执行。

ComfyUI