Zafran Security hat technische Details zu vier Schwachstellen in Dify veröffentlicht. Im Mittelpunkt steht dabei laut den Forschern die Möglichkeit, private KI-Chats aus Anwendungen anderer Kunden auszulesen. Ido Shani und Gal Zaban schreiben, die Lücken hätten einen verdeckten Exfiltrationskanal für jede Nachricht und jede Modellantwort schaffen können.

Nach Angaben von Zafran waren zwei der vier Schwachstellen von kritischer Schwere. Zwei ließen sich ohne Authentifizierung ausnutzen, drei wirkten sich tenantübergreifend auf Difys Multi-Tenant-Cloud-Service aus. Damit konnte die Trennung zwischen Kundenmandanten durchbrochen werden, sodass Daten eines Kunden einem anderen Kunden offengelegt werden konnten.

Die Forscher beschreiben mehrere Angriffswege. So sei es möglich gewesen, Difys interne Plugin-Daemon-API über nicht authentifizierte Anfragen zu erreichen und tenantübergreifende interne API-Aufrufe auszulösen. Außerdem konnten dem Bericht zufolge Dokumente eingesehen werden, die von anderen Mandanten hochgeladen wurden. Innerhalb eines Mandanten ließ sich demnach auch eine Datei eines anderen Nutzers offenlegen, wenn deren eindeutige Dateikennung angehängt wurde.

Ein zentraler Punkt ist laut Zafran das Fehlen von Prüfungen, ob ein Mandant tatsächlich Eigentümer einer Anwendung ist. Diese Schwäche konnte ausgenutzt werden, um sämtliche Nachrichten und Antworten aus betroffenen Anwendungen an einen vom Angreifer kontrollierten LLM-Trace-Provider umzuleiten. Da sich laut Forschern jeder frei für ein Dify-Konto registrieren kann, sei es Angreifern möglich, ihr eigenes Tracing für jede Anwendung zu konfigurieren, auf die sie als Client zugreifen können. Das umfasse auch alle öffentlich erreichbaren Anwendungen. Dadurch entstehe ein dauerhafter Exfiltrationskanal für sämtliche in der Anwendung gesendeten Nachrichten und Antworten.

Separat teilte Zafran mit, außerdem festgestellt zu haben, dass Difys Stack zum Parsen von Dateien auf eine Version von PDFium setzte. Diese Open-Source-Bibliothek in C++ zum Rendern von PDF-Dateien sei für CVE-2024-5846 anfällig, einen zwei Jahre alten Use-after-free-Fehler mit einem CVSS-Wert von 8,8. Über eine präparierte PDF-Datei könnte ein entfernter Angreifer dadurch möglicherweise eine Heap-Korruption ausnutzen.

Nach verantwortungsvoller Offenlegung wurden laut Zafran alle Schwachstellen mit Ausnahme von CVE-2026-41948 in Version 1.14.2 behoben, die im vergangenen Monat veröffentlicht wurde. Eine Korrektur für die noch ausstehende Lücke soll in der nächsten Dify-Version bereitgestellt werden.

Zafran ordnet den Fall zudem als Beispiel für Sichtbarkeitsprobleme bei Schwachstellen ein. „DifyTap zeigt, wo die Herausforderung bei der Transparenz von Schwachstellen liegt, insbesondere bei Container-Images, bei denen Unterschiede zwischen Bereitstellungen Sichtbarkeitslücken schaffen können, die herkömmliche Scanner nicht erkennen“, erklärte das Unternehmen.