文章总结： Dify平台1.11.0前版本存在API密钥明文暴露高危漏洞CVE-2025-67732，攻击者可从前端获取密钥滥用第三方服务。建议立即升级至1.11.0+，开展安全审计，采用动态授权代替长期密钥，并配置日志监控与CSP策略以消除风险。 综合评分： 83 文章分类： 漏洞预警,AI安全,应用安全,数据安全

【高危漏洞预警】Dify API密钥明文暴露漏洞CVE-2025-67732

cexlife

飓风网络安全

2026年1月6日 11:10 北京

漏洞描述:

Difу是一个开源的大型语言模型应用开发平台,在1.11.0版本之前,API密钥以明文形式暴露在前端导致非管理员用户可以查看并重复使用该密钥。

这可能导致对第三方服务的未授权访问,从而消耗有限的配额1.11.0版本已修复此问题

影响产品及版本:

Dify（开源大语言模型应用开发平台）,受影响版本为1.11.0之前版本

攻击场景:

攻击者可通过访问前端页面直接获取系统中API密钥的明文内容,进而利用该密钥调用后端关联的第三方服务（如大模型API、云服务等）实现未授权访问与资源滥用

建议措施:

立即升级Dify至1.11.0或更高版本,修复前端密钥暴露问题

对现有系统进行安全审计，确认是否存在未加密的敏感配置项暴露于前端

启用前端代码混淆与内容安全策略（CSP），防止敏感数据被非法抓取

采用基于令牌的动态授权机制（如JWT、短期访问令牌），避免长期有效的API密钥直接暴露

配置日志监控与异常调用告警，及时发现密钥滥用行为

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 cexlife《【高危漏洞预警】Dify API密钥明文暴露漏洞CVE-2025-67732》