江蘇
關鍵詞
漏洞
Dify 中的四個漏洞暴露了跨租戶數據、文檔和 AI 對話。兩個關鍵漏洞允許未認證訪問和數據竊取。
Zafran Labs 的研究人員披露了 Dify 中的四個漏洞。Dify 是一個開源 AI 平臺,被 Volvo 和 Maersk 等大公司用于在 60 多個行業中運行超過 100 萬個應用程序。其中兩個漏洞嚴重程度為“關鍵”,兩個完全不需要身份驗證,三個對 Dify 的云服務具有跨租戶影響,意味著一個客戶的私有數據可被另一個客戶讀取。研究人員將這組漏洞統稱為 DifyTap。
第一個也是最嚴重的漏洞是 CVE-2026-41947(CVSS 評分 9.1),存在于 Dify 的追蹤系統中,該組件負責記錄消息和模型響應以進行監控和分析。
公告指出:“攻擊者可以為其作為客戶端可以訪問的任何應用程序配置自己的追蹤,這包括所有公開可訪問的應用程序。”“這允許攻擊者為應用程序中發送的所有消息和響應創建一個持久化的數據外泄通道。”
要獲取 Dify 控制臺賬戶來實施此攻擊,只需注冊該平臺即可。門檻并不高。
第二個關鍵漏洞編號為 CVE-2026-41948(CVSS 評分 9.4),位于 Plugin Daemon(插件守護進程)中,這是運行 Dify 插件系統的內部服務。
報告繼續說道:“我們發現了兩個原語,允許訪問 Plugin Daemon 內的任意端點:一個通過 GET,一個通過 POST。”
GET 原語通過在插件圖標請求的文件名參數中注入路徑遍歷來工作,該參數未經消毒直接傳遞到內部 API URL 中。更糟糕的是,該端點完全不需要登錄,因此任何能夠網絡訪問 Dify 實例的人都可以利用它。POST 原語的結構類似,只是位于任務刪除端點。
其余兩個漏洞編號為 CVE-2026-41949 和 CVE-2026-41950,均涉及文件訪問。上傳文檔的預覽端點僅檢查文件類型是否為“Document”,而不進行其他檢查。沒有所有權檢查,也沒有租戶檢查。任何控制臺用戶都可以預覽系統中的任何文檔。第二個漏洞允許客戶端將另一個用戶的文件 UUID 附加到自己的聊天消息中,然后提示具有文件能力的聊天機器人將其讀回。要求 AI 準確重復文件內容,它會照做。
Zafran 還發現,Dify 運行了一個易受 CVE-2024-5846(一個于 2024 年 6 月公開披露的釋放后使用漏洞)影響的 PDFium 二進制文件,持續時間超過一年半,直到 2025 年 12 月 21 日。任何最終用戶都可以通過向預覽端點上傳惡意 PDF 來觸發該漏洞。
報告繼續說道:“在更廣泛的范圍內,許多 AI 應用程序面臨同樣的危險。這些應用程序支持解析來自不受信任來源的多種文件格式,允許任何最終用戶嘗試觸發 PDFium、ffmpeg 或其他程序中的已知漏洞。”“除了定期更新版本外,應用程序還應對此類操作進行沙箱隔離。”
這是一個類別問題,而不僅僅是 Dify 的問題。
研究還揭示了容器安全掃描中的一個盲點。Dify 將未打包的 Python 代碼直接復制到其容器鏡像中,這意味著標準掃描器不會將應用程序本身檢測為組件,也永遠不會暴露其漏洞。Zafran 開發了他們稱之為“陰影容器鏡像組件豐富化”的技術,以推斷容器鏡像代表的應用程序并將其與項目級 CVE 進行匹配。如果沒有類似的技術,Dify 的漏洞對環境中的每個自動掃描器來說都是不可見的。
Dify 版本 1.14.2 解決了上述漏洞。
報告總結道:“對于目前運行版本 1.14.2 的用戶,強烈建議實施專門設計用于緩解 CVE-2026-41948 的 Web 應用程序防火墻(WAF)規則。”
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
