
研究人员披露 DifyTap 漏洞,Dify 可能让 AI 聊天跨租户泄露
研究人员披露 Dify 中四个漏洞,统称 DifyTap,可能让未认证攻击者读取其他客户应用中的 AI 对话,并触发跨租户内部 API 调用、文件预览与泄露。相关问题已在部分版本修复。
网络安全研究人员披露了 Dify 中四个漏洞的细节。Dify 是一个开源的 agentic workflow platform,GitHub stars 超过 146,000,这些漏洞可能让攻击者在不需要 authentication 的情况下,偷偷读取来自其他客户应用中的 artificial intelligence (AI) conversations。
这些漏洞被 Zafran Security 统称为 DifyTap。
研究人员 Ido Shani 和 Gal Zaban 表示:“其中两个严重性为 critical,两个不需要 authentication,并且三个对 Dify 的 multi-tenant cloud service 造成 cross-tenant 影响,使一个客户的数据可能暴露给另一个客户。”
这些 security defects 可能让攻击者读取其他客户应用中的 private AI chats,从而为每条 message 和 model response 创建一条 covert exfiltration channel。
它们也使得攻击者能够从 unauthenticated requests traversing Dify 的内部 Plugin Daemon API,并触发 cross-tenant internal API calls;同时,还可以通过附加另一个用户的 file unique identifier 来 preview 其他 tenant 上传的 documents,并在同一 tenant 内跨用户泄露 files。
另一方面,Zafran 还表示,它发现 Dify 的 file parsing stack 依赖某个版本的 PDFium。PDFium 是一个用于 PDF rendering 的 open-source C++ library,而该版本存在 CVE-2024-5846(CVSS score: 8.8)漏洞。这是一个已有两年的 use-after-free bug,可能让远程攻击者通过 crafted PDF file 利用 heap corruption。
其余漏洞如下:
CVE-2026-41947(CVSS score: 9.1)- 一个 authorization bypass 漏洞,允许已认证的 editor users 为任何 application 设置并启用 trace configurations,不受 tenant ownership 影响。
CVE-2026-41948(CVSS score: 9.4)- 一个 path traversal 漏洞,允许已认证用户利用对 URL path sanitization 不足,操纵转发给 Plugin Daemon 的 internal REST API 的请求,并访问 internal、private endpoints。
CVE-2026-41949(CVSS score: 7.5/5.9)- 一个位于 file preview endpoint("/console/api/files/{file_id}/preview")的 authorization bypass 漏洞,允许任何已认证用户仅使用文件的 UUID,就能读取跨所有 tenants 和 workspaces 的任意已上传 document 的最多 3,000 characters。
CVE-2026-41950(CVSS score: 6.5)- 一个 authorization bypass 漏洞,允许已认证用户在 chat-messages request 的 files array 中提供任意 file UUID,从而读取同一 tenant 内其他用户上传的 files 的完整内容。
缺失的 tenant ownership checks 可能被利用,把受害者应用的所有 messages 和 responses 重定向到攻击者控制的 LLM trace provider。值得注意的是,任何人都可以自由注册 Dify account。
研究人员解释说:“因此,攻击者可以为其作为 client 能访问的任何 application 配置自己的 tracing,这包括所有公开可访问的 applications。这样一来,攻击者就可以为该 application 中发送的所有 messages 和 responses 创建一条持久的 exfiltration channel。”
在 responsible disclosure 之后,除 CVE-2026-41948 之外的所有漏洞都已在上个月发布的 version 1.14.2 中修复。这个待修复 flaw 的补丁预计会在 Dify 的下一个 release 中提供。
公司表示:“DifyTap 展示了 vulnerability visibility 中的挑战所在,尤其是在 container images 中,不同 deployment 之间的差异会造成 visibility gaps,而传统 scanners 无法检测到这些差异。”