ComfyUI-Manager CRLF注入导致远程代码执行漏洞

ComfyUI 是一款流行的基于节点的 Stable Diffusion 图形用户界面，广泛应用于 AI 图像生成工作流的构建和执行。ComfyUI-Manager 是 ComfyUI 的扩展管理器插件，用于简化自定义节点、模型和依赖项的安装管理。

2026年1月，长亭安全应急响应中心监测到 ComfyUI-Manager 官方在修复CVE-2025-67303漏洞之后仍然存在一处CRLF注入漏洞导致的配置篡改，未经身份验证的攻击者可利用该漏洞注入不安全的配置项，配合 Git URL 安装功能实现远程代码执行，利用难度较低，建议受影响的用户尽快修复。

配置篡改：攻击者可远程修改 Manager 配置文件，降低安全级别设置，绕过正常的安装验证机制。
远程代码执行：攻击者注入不安全的配置之后，可结合Git URL安装功能实现远程代码执行，最终控制服务器。

升级修复方案
升级 ComfyUI-Manager 至 V3.39.2 或更高版本

临时缓解措施
避免使用 --listen 0.0.0.0 等允许外部连接的参数启动 ComfyUI