Vier Schwachstellen in Dify gefährden Daten in mandantenfähigen Cloud-Umgebungen

Zusammenfassung

In der Open-Source-KI-Plattform Dify hat Zafran Security vier Schwachstellen entdeckt, die in mandantenfähigen Cloud-Umgebungen den Zugriff auf fremde Daten ermöglichen können. Betroffen ist eine weit verbreitete LLMOps-Plattform zum Erstellen, Bereitstellen, Warten und Überwachen von KI-Anwendungen, die nach Angaben des Quelltexts mehr als 1 Million Anwendungen in über 50 Branchen antreibt. Die unter dem Namen „DifyTap“ zusammengefassten Fehler erlaubten es laut Zafran, private Chats aus Anwendungen anderer Kunden auszulesen, interne API-Aufrufe über Mandantengrenzen hinweg auszulösen, von anderen Mandanten hochgeladene Dokumente vorzuschauen und Dateien anderer Nutzer innerhalb desselben Mandanten offenzulegen. Dify hat mit Version 1.14.2 Korrekturen für die gemeldeten Schwachstellen veröffentlicht. Nutzern wird geraten, auf die behobene Version zu aktualisieren und zusätzlich WAF-Regeln einzusetzen, die speziell zur Abwehr von CVE-2026-41948 gedacht sind.

Die erste Schwachstelle wird als CVE-2026-41947 geführt und hat einen CVSS-Wert von 9,1. Sie steckte in Difys Tracing-Funktion, die für Profiling und Überwachung von KI-Anwendungen gedacht ist. Nach Angaben von Zafran prüften die Endpunkte zur Konfiguration des Tracings nicht, zu welchem Mandanten der Absender gehört. Dadurch konnten Angreifer Anfragen für beliebige Anwendungen senden, die auf derselben Instanz gehostet werden.

Für die Ausnutzung ist ein Dify-Konsolenbenutzerkonto erforderlich. Laut Quelltext steht ein solches Konto jedem zur Verfügung, der sich auf der Plattform registriert. Zafran erklärt, ein Angreifer könne für jede Anwendung, auf die er als Client zugreifen kann, ein eigenes Tracing einrichten; dazu zählten auch alle öffentlich erreichbaren Anwendungen. So entstehe ein dauerhafter Kanal, über den sich sämtliche Nachrichten und Antworten aus der jeweiligen Anwendung abziehen ließen.

Die zweite Lücke, CVE-2026-41948 mit einem CVSS-Wert von 9,4, betrifft den Plugin-Daemon von Dify. Diese Komponente verwaltet und startet Plugins. Zafran zufolge stellen zwei Primitive in dem Daemon Angreifern den Zugriff auf beliebige API-Endpunkte per GET- und POST-Anfragen bereit. Das könne für Pfadmanipulationsangriffe missbraucht werden, um Plugin-Symbole anderer Mandanten abzurufen oder die Umgebungen anderer Mandanten zu beeinflussen.

Die beiden übrigen Schwachstellen werden als CVE-2026-41949 und CVE-2026-41950 verfolgt und stuft der Quelltext als hochkritische Fehler ein. Sie hängen damit zusammen, wie Dify Dateien identifiziert und Zugriffsrechte verarbeitet. Dadurch konnten Angreifer Vorschauen von Dateien sehen, die von anderen Mandanten hochgeladen wurden, oder Dateien abrufen, die andere Benutzer innerhalb desselben Mandanten hochgeladen hatten.

Zusätzlich entdeckte Zafran, dass die vom Vorschau-Endpunkt verwendete PDF-Parsing-Bibliothek über ungefähr anderthalb Jahre hinweg bis zum 21. Dezember 2025 die Chromium-PDFium-Binärversion 126.0.6462.0 einsetzte. Diese Version war anfällig für CVE-2024-5846, einen Use-after-free-Fehler, der im Juni 2024 offengelegt wurde.

Dify hat die Schwachstellen mit Version 1.14.2 behoben. Anwender sollen laut Quelltext so schnell wie möglich auf diese Version aktualisieren. Zusätzlich wird empfohlen, WAF-Regeln zu implementieren, die speziell zur Eindämmung von CVE-2026-41948 ausgelegt sind.

Vier Schwachstellen in Dify gefährden Daten in mandantenfähigen Cloud-Umgebungen

Ähnliche Artikel

Neueste Artikel