https://blog.qife122.com/tags/cve-2026-22777/ Recent content in CVE-2026-22777 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 11:48:31 +0800 https://blog.qife122.com/p/comfyui-manager-%E6%9B%9D%E9%AB%98%E5%8D%B1crlf%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%8F%AF%E8%BF%9C%E7%A8%8B%E7%AF%A1%E6%94%B9%E9%85%8D%E7%BD%AE/ Mon, 12 Jan 2026 11:48:31 +0800 https://blog.qife122.com/p/comfyui-manager-%E6%9B%9D%E9%AB%98%E5%8D%B1crlf%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%8F%AF%E8%BF%9C%E7%A8%8B%E7%AF%A1%E6%94%B9%E9%85%8D%E7%BD%AE/ <h1 id="cve-2026-22777-cwe-93-comfy-org-comfyui-manager-中的crlf序列不当中和crlf注入">CVE-2026-22777: CWE-93: Comfy-Org ComfyUI-Manager 中的CRLF序列不当中和（CRLF注入）</h1> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong></p> <h2 id="概述">概述</h2> <p>CVE-2026-22777 是一个被归类为 CWE-93（CRLF序列不当中和）的漏洞，发现于 Comfy-Org 的 ComfyUI-Manager 扩展中，该扩展旨在增强 ComfyUI 的可用性。此漏洞存在于 3.39.2 之前版本以及 4.0.0 至 4.0.5 之间的版本。攻击者可通过 HTTP 查询参数注入回车和换行（CRLF）字符，从而向 config.ini 配置文件中任意添加配置值，导致安全设置被篡改或应用程序行为被修改。此问题已在 3.39.2 和 4.0.5 版本中修复。</p>