Die vier von Zafran beschriebenen Schwachstellen tragen die Kennungen CVE-2026-41947, CVE-2026-41948, CVE-2026-41949 und CVE-2026-41950. Die Tracing-Konfigurationslücke CVE-2026-41947 hat einen CVSS-Wert von 9,1, die Path-Traversal-Schwachstelle im Plugin Daemon CVE-2026-41948 einen CVSS-Wert von 9,4. Die beiden Fehler beim Dokumentzugriff, CVE-2026-41949 und CVE-2026-41950, bewertet Zafran jeweils mit 6,5.

Drei der vier Probleme — CVE-2026-41947, CVE-2026-41949 und CVE-2026-41950 — sind laut Quelltext in Dify 1.14.2 behoben. Für CVE-2026-41948 wurde ein Fix auf GitHub zusammengeführt; Kunden können die neueste dort verfügbare Version bauen und ausrollen, die alle vier Schwachstellen zugleich adressiert. Zafran empfiehlt in seinem Blog zudem Betreibern, die derzeit Version 1.14.2 einsetzen, Web-Application-Firewall-Regeln speziell zur Abmilderung von CVE-2026-41948 umzusetzen.

Besonders heikel ist aus Sicht der Forscher CVE-2026-41947. Die Lücke erlaubt eine Übernahme der Tracing-Konfiguration. Im Kontext von KI-Anwendungen dient Tracing der Profilierung und Überwachung von Anwendungen. Ein Angreifer könnte laut Zafran ein Dify-Konto anlegen, eine öffentlich erreichbare Anwendung finden, deren interne App-ID ermitteln, die API für die Tracing-Konfiguration aufrufen und ein eigenes Tracing-Backend registrieren.

Damit ließe sich nach Angaben der Forscher praktisch „ein dauerhafter Exfiltrationskanal für alle in der Anwendung gesendeten Nachrichten und Antworten“ einrichten. Nutzt ein Unternehmen Dify für einen kundenorientierten Chatbot, könnten darüber unter anderem Benutzereingaben, Modellantworten und Chatverläufe abgegriffen werden.

CVE-2026-41948 betrifft den Plugin Daemon, also den Dienst, mit dem Dify Plug-ins verwaltet und ausführt. Die Schwachstelle erlaubt es, auf freigelegte Teile der internen Plugin-Daemon-Schnittstelle zuzugreifen, die eigentlich nicht erreichbar sein sollten. Der unmittelbare Schaden sei derzeit begrenzt und ermögliche vor allem den Zugriff auf debug/pprof für Leistungsdaten, schreiben die Forscher. Zugleich handele es sich aber um einen grundlegenden Architekturfehler, durch den neue oder geänderte Endpunkte des Plugin Daemon später zu gravierenden Schwachstellen werden könnten.

Die beiden übrigen Lücken hängen mit den Universally Unique Identifiers, kurz UUIDs, zusammen, die an Dokumente gebunden sind, etwa an sensible hochgeladene PDF-Dateien. Wenn ein Angreifer eine solche UUID kennt, kann er über CVE-2026-41949 Inhalte eines Dokuments über einen Vorschaueinstiegspunkt allein mit dieser UUID abrufen. CVE-2026-41950 erlaubt es laut Zafran, eine KI-Anwendung mithilfe der UUID in einer Eingabeaufforderung dazu zu bringen, den Inhalt einer Datei ohne weitere Autorisierung preiszugeben.

Ein Sprecher von Zafran sagte Dark Reading, dem Unternehmen seien bislang keine realen Ausnutzungsversuche bekannt. Dark Reading bat auch Dify um eine Stellungnahme. Zafran verweist darauf, dass KI-Anwendungen wegen ihrer Nähe zu besonders sensiblen Unternehmensbereichen zusätzliche Risiken für die Datensicherheit mit sich bringen. Ein einfacher Autorisierungsfehler könne sich rasch zu einer mandantenübergreifenden Offenlegung von Daten entwickeln, so der Sprecher.