文章总结： ZafranLabs披露Dify开源AI平台存在四个统称为DifyTap的漏洞，影响超100万个应用。两个关键漏洞CVE-2026-41947和CVE-2026-41948允许未认证攻击者窃取跨租户数据及通过插件守护进程实现任意端点访问。另外两个文件访问漏洞可导致文档泄露，同时平台长期存在PDFium组件漏洞风险。报告建议升级至1.14.2版本并配置WAF规则，同时指出AI应用需对文件解析操作进行沙箱隔离。 综合评分： 85 文章分类： 漏洞分析,AI安全,数据安全,应用安全,云安全

【安全圈】DifyTap：四个漏洞使超过 100 万个 AI 应用面临风险

安全圈

2026年6月25日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

Dify 中的四个漏洞暴露了跨租户数据、文档和 AI 对话。两个关键漏洞允许未认证访问和数据窃取。

Zafran Labs 的研究人员披露了 Dify 中的四个漏洞。Dify 是一个开源 AI 平台，被 Volvo 和 Maersk 等大公司用于在 60 多个行业中运行超过 100 万个应用程序。其中两个漏洞严重程度为“关键”，两个完全不需要身份验证，三个对 Dify 的云服务具有跨租户影响，意味着一个客户的私有数据可被另一个客户读取。研究人员将这组漏洞统称为 DifyTap。

第一个也是最严重的漏洞是 CVE-2026-41947（CVSS 评分 9.1），存在于 Dify 的追踪系统中，该组件负责记录消息和模型响应以进行监控和分析。

公告指出：“攻击者可以为其作为客户端可以访问的任何应用程序配置自己的追踪，这包括所有公开可访问的应用程序。”“这允许攻击者为应用程序中发送的所有消息和响应创建一个持久化的数据外泄通道。”

要获取 Dify 控制台账户来实施此攻击，只需注册该平台即可。门槛并不高。

第二个关键漏洞编号为 CVE-2026-41948（CVSS 评分 9.4），位于 Plugin Daemon（插件守护进程）中，这是运行 Dify 插件系统的内部服务。

报告继续说道：“我们发现了两个原语，允许访问 Plugin Daemon 内的任意端点：一个通过 GET，一个通过 POST。”

GET 原语通过在插件图标请求的文件名参数中注入路径遍历来工作，该参数未经消毒直接传递到内部 API URL 中。更糟糕的是，该端点完全不需要登录，因此任何能够网络访问 Dify 实例的人都可以利用它。POST 原语的结构类似，只是位于任务删除端点。

其余两个漏洞编号为 CVE-2026-41949 和 CVE-2026-41950，均涉及文件访问。上传文档的预览端点仅检查文件类型是否为“Document”，而不进行其他检查。没有所有权检查，也没有租户检查。任何控制台用户都可以预览系统中的任何文档。第二个漏洞允许客户端将另一个用户的文件 UUID 附加到自己的聊天消息中，然后提示具有文件能力的聊天机器人将其读回。要求 AI 准确重复文件内容，它会照做。

Zafran 还发现，Dify 运行了一个易受 CVE-2024-5846（一个于 2024 年 6 月公开披露的释放后使用漏洞）影响的 PDFium 二进制文件，持续时间超过一年半，直到 2025 年 12 月 21 日。任何最终用户都可以通过向预览端点上传恶意 PDF 来触发该漏洞。

报告继续说道：“在更广泛的范围内，许多 AI 应用程序面临同样的危险。这些应用程序支持解析来自不受信任来源的多种文件格式，允许任何最终用户尝试触发 PDFium、ffmpeg 或其他程序中的已知漏洞。”“除了定期更新版本外，应用程序还应对此类操作进行沙箱隔离。”

这是一个类别问题，而不仅仅是 Dify 的问题。

研究还揭示了容器安全扫描中的一个盲点。Dify 将未打包的 Python 代码直接复制到其容器镜像中，这意味着标准扫描器不会将应用程序本身检测为组件，也永远不会暴露其漏洞。Zafran 开发了他们称之为“阴影容器镜像组件丰富化”的技术，以推断容器镜像代表的应用程序并将其与项目级 CVE 进行匹配。如果没有类似的技术，Dify 的漏洞对环境中的每个自动扫描器来说都是不可见的。

Dify 版本 1.14.2 解决了上述漏洞。

报告总结道：“对于目前运行版本 1.14.2 的用户，强烈建议实施专门设计用于缓解 CVE-2026-41948 的 Web 应用程序防火墙（WAF）规则。”

END

阅读推荐

【安全圈】你的C盘是不是又红了？WPS这次终于回应了！

【安全圈】苹果手机出了个”绝症漏洞”：修不了、防不住，影响上亿部设备！

【安全圈】WhatsApp 钓鱼攻击利用虚假商务文档入侵 PC

【安全圈】13个字就能投毒AI搜索结果？ChatGPT和Gemini都中招了

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】DifyTap：四个漏洞使超过 100 万个 AI 应用面临风险》