CVE-2025-3466 in dify
الملخص
بحسب VulDB • 24/06/2026
تُظهر الإصدارات من langgenius/dify بدءًا من 1.1.0 حتى 1.1.2 ثغرة أمنية ناتجة عن عدم تنقية المدخلات (unsanitized input) في عقدة الكود، مما يسمح بتنفيذ أكواد عشوائية بصلاحيات root كاملة. تنشأ هذه الثغرة بسبب القدرة على تجاوز الدوال العالمية في JavaScript، مثل parseInt، قبل فرض قيود الأمان الخاصة بالبيئة المعزولة (sandbox). يمكن أن يؤدي ذلك إلى وصول غير مصرح به إلى مفاتيح الأسرار (secret keys)، وخوادم الشبكة الداخلية، والتنقل الجانبي داخل dify.ai. تم حل هذه المشكلة في الإصدار 1.1.3.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.