返回
快讯

研究人员披露 DifyTap 漏洞,Dify 可能让 AI 聊天跨租户泄露

研究人员披露 Dify 中四个漏洞,统称 DifyTap,可能让未认证攻击者读取其他客户应用中的 AI 对话,并触发跨租户内部 API 调用、文件预览与泄露。相关问题已在部分版本修复。

CVE-2024-5846CVE-2026-41947CVE-2026-41948CVE-2026-41949CVE-2026-41950

网络安全研究人员披露了 Dify 中四个漏洞的细节。Dify 是一个开源的 agentic workflow platform,GitHub stars 超过 146,000,这些漏洞可能让攻击者在不需要 authentication 的情况下,偷偷读取来自其他客户应用中的 artificial intelligence (AI) conversations。

这些漏洞被 Zafran Security 统称为 DifyTap。

研究人员 Ido Shani 和 Gal Zaban 表示:“其中两个严重性为 critical,两个不需要 authentication,并且三个对 Dify 的 multi-tenant cloud service 造成 cross-tenant 影响,使一个客户的数据可能暴露给另一个客户。”

这些 security defects 可能让攻击者读取其他客户应用中的 private AI chats,从而为每条 message 和 model response 创建一条 covert exfiltration channel。

它们也使得攻击者能够从 unauthenticated requests traversing Dify 的内部 Plugin Daemon API,并触发 cross-tenant internal API calls;同时,还可以通过附加另一个用户的 file unique identifier 来 preview 其他 tenant 上传的 documents,并在同一 tenant 内跨用户泄露 files。

另一方面,Zafran 还表示,它发现 Dify 的 file parsing stack 依赖某个版本的 PDFium。PDFium 是一个用于 PDF rendering 的 open-source C++ library,而该版本存在 CVE-2024-5846(CVSS score: 8.8)漏洞。这是一个已有两年的 use-after-free bug,可能让远程攻击者通过 crafted PDF file 利用 heap corruption。

其余漏洞如下:

CVE-2026-41947(CVSS score: 9.1)- 一个 authorization bypass 漏洞,允许已认证的 editor users 为任何 application 设置并启用 trace configurations,不受 tenant ownership 影响。

CVE-2026-41948(CVSS score: 9.4)- 一个 path traversal 漏洞,允许已认证用户利用对 URL path sanitization 不足,操纵转发给 Plugin Daemon 的 internal REST API 的请求,并访问 internal、private endpoints。

CVE-2026-41949(CVSS score: 7.5/5.9)- 一个位于 file preview endpoint("/console/api/files/{file_id}/preview")的 authorization bypass 漏洞,允许任何已认证用户仅使用文件的 UUID,就能读取跨所有 tenants 和 workspaces 的任意已上传 document 的最多 3,000 characters。

CVE-2026-41950(CVSS score: 6.5)- 一个 authorization bypass 漏洞,允许已认证用户在 chat-messages request 的 files array 中提供任意 file UUID,从而读取同一 tenant 内其他用户上传的 files 的完整内容。

缺失的 tenant ownership checks 可能被利用,把受害者应用的所有 messages 和 responses 重定向到攻击者控制的 LLM trace provider。值得注意的是,任何人都可以自由注册 Dify account。

研究人员解释说:“因此,攻击者可以为其作为 client 能访问的任何 application 配置自己的 tracing,这包括所有公开可访问的 applications。这样一来,攻击者就可以为该 application 中发送的所有 messages 和 responses 创建一条持久的 exfiltration channel。”

在 responsible disclosure 之后,除 CVE-2026-41948 之外的所有漏洞都已在上个月发布的 version 1.14.2 中修复。这个待修复 flaw 的补丁预计会在 Dify 的下一个 release 中提供。

公司表示:“DifyTap 展示了 vulnerability visibility 中的挑战所在,尤其是在 container images 中,不同 deployment 之间的差异会造成 visibility gaps,而传统 scanners 无法检测到这些差异。”