CVE-2026-41948
KrytyczneCVSS 9.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 — wyżej niż 39% wszystkich znanych CVE
Streszczenie
Wersja 1.14.1 i wcześniejsze Dify zawierają podatność na przejście ścieżki, która pozwala uwierzytelnionym użytkownikom manipulować żądaniami kierowanymi do wewnętrznego API REST Plugin Daemon. Atakujący mogą wykorzystać niewystarczające oczyszczanie ścieżek URL, aby uzyskać dostęp do wewnętrznych punktów końcowych.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do wrażliwych interfejsów, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji. Dodatkowo, możliwość łatwego zakupu konta przez atakujących zwiększa ryzyko.
Rekomendacja
Zaleca się aktualizację Dify do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie rejestracji kont do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Dify version 1.14.1 and prior contain a path traversal vulnerability that allows authenticated users to manipulate requests forwarded to the Plugin Daemon's internal REST API by exploiting insufficient URL path sanitization. Attackers can traverse out of their authorized tenant path using unencoded dot sequences in task identifiers or manipulated filename parameters to access internal endpoints such as debug interfaces, requiring only knowledge of the victim tenant's UUID. NOTE: Dify Cloud allows unauthenticated free self-registration, making account creation trivially accessible to any attacker.

