CVE-2025-63386
KrytyczneStreszczenie
W Dify w wersji 1.9.1 występuje podatność związana z błędną konfiguracją CORS w punkcie końcowym /console/api/setup. Polityka CORS jest niebezpieczna, ponieważ odzwierciedla dowolny nagłówek Origin i umożliwia ustawienie Access-Control-Allow-Credentials: true, co pozwala na autoryzowane żądania z dowolnych zewnętrznych domen.
Ocena ryzyka
Organizacja może być narażona na ataki typu Cross-Site Request Forgery (CSRF), co może prowadzić do nieautoryzowanego dostępu do danych użytkowników. Potencjalni napastnicy mogą wykorzystać tę podatność do przeprowadzania nieautoryzowanych operacji w imieniu użytkowników.
Rekomendacja
Zaleca się zaktualizowanie Dify do najnowszej wersji, która naprawia tę podatność, oraz przegląd i poprawę konfiguracji CORS, aby ograniczyć dozwolone źródła do zaufanych domen.
Oryginalny opis (angielski, źródło NVD)
A Cross-Origin Resource Sharing (CORS) misconfiguration vulnerability exists in Dify v1.9.1 in the /console/api/setup endpoint. The endpoint implements an insecure CORS policy that reflects any Origin header and enables Access-Control-Allow-Credentials: true, permitting arbitrary external domains to make authenticated requests. NOTE: the Supplier disputes this because the endpoint configuration is intentional to support bootstrap.

