CVE-2026-13493
NiskieCVSS 3.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
W ComfyUI-Copilot do wersji 2.0.28 znaleziono lukę w obsłudze przywracania punktów kontrolnych przepływu pracy. Problem dotyczy nieznanego przetwarzania w pliku backend/controller/conversation_api.py, co prowadzi do nieprawidłowej kontroli identyfikatorów zasobów. Atak może być przeprowadzony zdalnie, ale jest trudny do wykonania ze względu na wysoką złożoność.
Ocena ryzyka
Organizacja narażona jest na zdalne manipulowanie identyfikatorami zasobów, co może umożliwić nieautoryzowany dostęp do danych lub zakłócenie działania systemu. Ze względu na wysoką złożoność ataku ryzyko jest umiarkowane, ale exploit jest już publicznie dostępny.
Rekomendacja
Należy natychmiast zastosować dostępne poprawki lub zaktualizować ComfyUI-Copilot do wersji powyżej 2.0.28, gdy tylko zostanie wydana. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu sieciowego i monitorowanie podejrzanych żądań.
Oryginalny opis (angielski, źródło NVD)
A flaw has been found in AIDC-AI ComfyUI-Copilot up to 2.0.28. This issue affects some unknown processing of the file backend/controller/conversation_api.py of the component Workflow Checkpoint Restore Handler. Executing a manipulation can lead to improper control of resource identifiers. The attack may be performed from remote. A high complexity level is associated with this attack. The exploitability is assessed as difficult. The exploit has been published and may be used. The pull request to fix this issue awaits acceptance.

