CVE-2026-41949
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 35 - wyżej niż 35% wszystkich znanych CVE
Streszczenie
Dify przed wersją 1.14.2 zawiera lukę w autoryzacji w punkcie końcowym podglądu plików, która pozwala każdemu uwierzytelnionemu użytkownikowi na odczytanie do 3,000 znaków z dowolnego przesłanego dokumentu, używając jedynie UUID pliku. Atakujący mogą uzyskać dostęp do końcowego punktu /console/api/files/{file_id}/preview, aby wydobyć wrażliwe treści z dokumentów bez weryfikacji własności lub uprawnień do przestrzeni roboczej.
Ocena ryzyka
Luka ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia nieautoryzowany dostęp do wrażliwych informacji w dokumentach, co może prowadzić do wycieku danych. Dodatkowo, możliwość łatwego tworzenia kont przez nieautoryzowanych użytkowników zwiększa ryzyko ataków.
Rekomendacja
Zaleca się aktualizację Dify do wersji 1.14.2 lub nowszej, aby usunąć tę lukę. Należy również rozważyć wprowadzenie dodatkowych środków zabezpieczających, takich jak weryfikacja tożsamości użytkowników przed przyznaniem dostępu do wrażliwych danych.
Oryginalny opis (angielski, źródło NVD)
Dify before version 1.14.2 contains an authorization bypass vulnerability in the file preview endpoint that allows any authenticated user to read up to 3,000 characters of any uploaded document across all tenants and workspaces using only the file's UUID. Attackers can access the /console/api/files/{file_id}/preview endpoint with an intercepted file UUID to extract sensitive content from documents without ownership or workspace permission verification. NOTE: Dify Cloud allows unauthenticated free self-registration, making account creation trivially accessible to any attacker.

