CVE-2025-3466 in difyالمعلومات

الملخص

بحسب VulDB • 24/06/2026

تُظهر الإصدارات من langgenius/dify بدءًا من 1.1.0 حتى 1.1.2 ثغرة أمنية ناتجة عن عدم تنقية المدخلات (unsanitized input) في عقدة الكود، مما يسمح بتنفيذ أكواد عشوائية بصلاحيات root كاملة. تنشأ هذه الثغرة بسبب القدرة على تجاوز الدوال العالمية في JavaScript، مثل parseInt، قبل فرض قيود الأمان الخاصة بالبيئة المعزولة (sandbox). يمكن أن يؤدي ذلك إلى وصول غير مصرح به إلى مفاتيح الأسرار (secret keys)، وخوادم الشبكة الداخلية، والتنقل الجانبي داخل dify.ai. تم حل هذه المشكلة في الإصدار 1.1.3.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

@huntr Ai

حجز

09/04/2025

إفشاء

07/07/2025

الاعتدال

تمت الموافقة

إدخال

VDB-315146

EPSS

0.00718

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!