• 漏洞编号：CVE-2025-67303
• 漏洞等级：高危
• 漏洞标签：暂无
• 发布时间：2026-01-06

漏洞描述

ComfyUI是一个开源的、基于节点的图像生成程序，用户能够使用它从文本生成图片。2026年1月，互联网上披露 CVE\-2025\-67303 ComfyUI\-Manager API 未授权访问漏洞，由于ComfyUI\-Manager 的数据与配置目录未受 ComfyUI 的 Web API 访问控制充分保护，导致攻击者可构造恶意请求并最终导致在服务器上实现远程代码执行。官方已发布 v3.38 版本，建议升级至最新版本。

修复建议

官方已发布 v3.38 版本，建议升级至最新版本。升级具体操作参考 https://github.com/Comfy-Org/ComfyUI-Manager/blob/main/docs/en/v3.38-userdata-security-migration.md

参考链接

https://github.com/Comfy-Org/ComfyUI-Manager/blob/main/docs/en/v3.38-userdata-security-migration.md

https://github.com/Comfy-Org/ComfyUI-Manager/pull/2338/commits/e44c5cef58fb4973670b86433b9d24d077b44a26

https://avd.aliyun.com/detail?id=AVD-2025-67303