Die Schwachstelle betrifft die KI-Anwendungsplattform Dify, genauer die Endpunkte zur Konfiguration des sogenannten Tracings – einer Funktion, mit der die Nachrichten und Antworten einer Anwendung zur Nachverfolgung an einen externen Anbieter für die Protokollierung von Sprachmodellen (LLM-Trace-Provider) weitergeleitet werden. Es handelt sich um eine Umgehung der Zugriffskontrolle: An diesen Endpunkten fehlt die Prüfung, ob die zugreifende Person überhaupt zum jeweiligen Mandanten gehört. Dadurch kann ein angemeldeter Benutzer mit Bearbeiterrechten die Trace-Konfiguration beliebiger Anwendungen setzen und aktivieren – auch solcher, die einem fremden Mandanten gehören. In der Folge lassen sich sämtliche Nachrichten und Antworten der fremden Anwendung an einen vom Angreifer kontrollierten Trace-Provider umleiten, sodass dieser den gesamten Datenverkehr mitlesen kann. Besonders brisant: Bei der Cloud-Variante von Dify ist eine kostenlose Selbstregistrierung ohne Anmeldung möglich, sodass sich praktisch jeder Angreifer mühelos das nötige Konto verschaffen kann.