CVE-2026-41950
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 - wyżej niż 25% wszystkich znanych CVE
Streszczenie
Dify przed wersją 1.14.0 zawiera lukę w autoryzacji, która pozwala uwierzytelnionym użytkownikom na odczyt pełnej zawartości plików przesłanych przez innych użytkowników w tym samym środowisku. Wykorzystując dowolny UUID pliku w żądaniu wiadomości czatu, napastnicy mogą ominąć weryfikację uprawnień.
Ocena ryzyka
Luka ta może prowadzić do nieautoryzowanego dostępu do wrażliwych danych, co stwarza poważne zagrożenie dla prywatności i bezpieczeństwa informacji w organizacji.
Rekomendacja
Zaleca się aktualizację Dify do wersji 1.14.0 lub nowszej, aby usunąć tę lukę oraz wdrożenie dodatkowych mechanizmów weryfikacji uprawnień.
Oryginalny opis (angielski, źródło NVD)
Dify before version 1.14.0 contains an authorization bypass vulnerability that allows authenticated users to read the full contents of files uploaded by other users within the same tenant by supplying an arbitrary file UUID in the files array of a chat-messages request. Attackers can exploit insufficient permission verification in the chat-messages endpoints to access files without ownership validation, bypassing workspace separation and signed URL protections to retrieve sensitive file contents through workflow processing.

