Los investigadores de ciberseguridad han detallado cuatro vulnerabilidades en Dify, una plataforma de flujo de trabajo de agentes de código abierto con más de 146.000 estrellas de GitHub. Esta vulnerabilidad podría permitir a un atacante leer en secreto transformaciones de inteligencia artificial (IA) de otras aplicaciones de clientes sin requerir autenticación.
Zafran Security ha denominado colectivamente estas vulnerabilidades como «DifyTap».
«Dos de los incidentes fueron de alta gravedad, dos no requirieron autenticación y tres tuvieron un impacto entre inquilinos en el servicio de nube multiinquilino de Dify, permitiendo potencialmente que los datos de un cliente se filtraran a otro», dijeron los investigadores Ido Shani y Gul Zaban.
Esta falla de seguridad podría permitir a un atacante leer chats privados de IA de las aplicaciones de otros clientes, creando un canal secreto de exfiltración para todos los mensajes y respuestas modelo.
Ahora también es posible atravesar la API del demonio de complemento interno de Dify desde solicitudes no autenticadas para activar llamadas API internas entre inquilinos, obtener una vista previa de los documentos cargados por otros inquilinos y filtrar archivos entre usuarios dentro de un inquilino adjuntando un identificador único para el archivo de otro usuario.
Por otra parte, Zafran dijo que también descubrió que la pila de análisis de archivos de Dify se basa en una versión de PDFium, una biblioteca C++ de código abierto para renderizado de PDF. Esta versión era vulnerable a CVE-2024-5846 (puntuación CVSS: 8,8). CVE-2024-5846 (puntuación CVSS: 8,8) es un error de uso después de la liberación de dos años de antigüedad que permite a atacantes remotos explotar potencialmente la corrupción del montón a través de un archivo PDF diseñado.
Las vulnerabilidades restantes se enumeran a continuación.
CVE-2026-41947 (Puntuación CVSS: 9.1): la vulnerabilidad de omisión de autenticación permite a los usuarios del editor autenticados establecer y habilitar la configuración de seguimiento para aplicaciones arbitrarias, independientemente de la propiedad del inquilino. CVE-2026-41948 (Puntuación CVSS: 9,4): la vulnerabilidad de recorrido de ruta permite a los usuarios autenticados manipular las solicitudes enviadas a la API REST interna del demonio del complemento explotando una desinfección insuficiente de la ruta URL para acceder a puntos finales privados internos. CVE-2026-41949 (puntuación CVSS: 7,5/5,9): una vulnerabilidad de omisión de autorización en el punto final de vista previa de archivos (‘/console/api/files/{file_id}/preview’) permite a los usuarios autenticados leer hasta 3000 caracteres de documentos cargados en todos los inquilinos y espacios de trabajo utilizando solo el UUID del archivo. CVE-2026-41950 (puntuación CVSS: 6,5): vulnerabilidad de omisión de autenticación que permite a los usuarios autenticados leer el contenido completo de los archivos cargados por otros usuarios en el mismo inquilino especificando un UUID de archivo arbitrario en la matriz de archivos de una solicitud de mensaje de chat.
La explotación de la verificación de propiedad del inquilino que falta podría dar como resultado que todos los mensajes y respuestas de la aplicación víctima sean redirigidos a un proveedor de rastreo LLM controlado por el atacante. Vale la pena señalar que cualquiera puede registrar libremente una cuenta Dify.
«Como resultado, un atacante puede configurar sus propios rastros para cualquier aplicación a la que pueda acceder como cliente, incluidas todas las aplicaciones de acceso público», explicaron los investigadores. «Esto permite a un atacante crear un canal de exfiltración persistente para todos los mensajes y respuestas enviados por la aplicación».
Después de una divulgación responsable, todas las vulnerabilidades excepto CVE-2026-41948 se abordaron en la versión 1.14.2, que se lanzó el mes pasado. Las correcciones para defectos pendientes estarán disponibles en la próxima versión de Dify.
«DifyTap muestra dónde residen los desafíos en la visibilidad de las vulnerabilidades, especialmente en las imágenes de contenedores, donde las diferencias entre implementaciones pueden crear brechas en la visibilidad que los escáneres tradicionales no pueden detectar», dijo la compañía.
Source link
