CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-63386

Critical
Published: Translated: NVD NIST

Summary

W Dify w wersji 1.9.1 występuje podatność związana z błędną konfiguracją CORS w punkcie końcowym /console/api/setup. Polityka CORS jest niebezpieczna, ponieważ odzwierciedla dowolny nagłówek Origin i umożliwia ustawienie Access-Control-Allow-Credentials: true, co pozwala na autoryzowane żądania z dowolnych zewnętrznych domen.

Risk Assessment

Organizacja może być narażona na ataki typu Cross-Site Request Forgery (CSRF), co może prowadzić do nieautoryzowanego dostępu do danych użytkowników. Potencjalni napastnicy mogą wykorzystać tę podatność do przeprowadzania nieautoryzowanych operacji w imieniu użytkowników.

Recommendation

Zaleca się zaktualizowanie Dify do najnowszej wersji, która naprawia tę podatność, oraz przegląd i poprawę konfiguracji CORS, aby ograniczyć dozwolone źródła do zaufanych domen.

Original NVD description (English source)

A Cross-Origin Resource Sharing (CORS) misconfiguration vulnerability exists in Dify v1.9.1 in the /console/api/setup endpoint. The endpoint implements an insecure CORS policy that reflects any Origin header and enables Access-Control-Allow-Credentials: true, permitting arbitrary external domains to make authenticated requests. NOTE: the Supplier disputes this because the endpoint configuration is intentional to support bootstrap.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS