Die Schwachstelle betrifft die KI-Anwendungsplattform Dify und steckt in der Verarbeitung von Anfragen, die an die interne REST-Programmierschnittstelle des sogenannten Plugin Daemon weitergeleitet werden. Ursache ist eine unzureichende Bereinigung von URL-Pfaden, durch die ein Path-Traversal-Angriff möglich wird. Ein bereits angemeldeter Nutzer kann mit unkodierten Punktfolgen in Aufgabenkennungen oder manipulierten Dateinamen aus dem ihm zugewiesenen Mandantenbereich ausbrechen. Dadurch erreicht er interne Endpunkte, die eigentlich abgeschottet sein sollten – etwa Debug-Schnittstellen. Voraussetzung ist lediglich die Kenntnis der eindeutigen Kennung (UUID) des angegriffenen Mandanten. Besonders heikel ist die Lage in der Cloud-Variante der Plattform: Dort kann sich jeder ohne Anmeldung kostenlos selbst registrieren, sodass das nötige Konto für einen Angreifer trivial zu beschaffen ist und die Hürde für eine Ausnutzung entsprechend niedrig liegt.