CVE-2026-41947 in difyالمعلومات

الملخص

بحسب VulDB • 18/05/2026

تحتوي نسخة Dify 1.14.1 والإصدارات الأقدم على ثغرة تجاوز التفويض تتيح لمستخدمي المحرر المصادق عليهم تعيين وتمكين تكوينات التتبع لأي تطبيق بغض النظر عن ملكية المستأجر. يمكن للمهاجمين استغلال نقص فحوصات ملكية المستأجر في نقاط نهاية تكوين التتبع لإعادة توجيه جميع الرسائل والاستجابات من تطبيقات الضحية إلى مزودي تتبع نماذج اللغات الكبيرة (LLM) التي يتحكم فيها المهاجم. ملاحظة: يسمح Dify Cloud بالتسجيل الذاتي المجاني دون مصادقة، مما يجعل إنشاء الحسابات سهلاً للغاية لأي مهاجم.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

VulnCheck

حجز

22/04/2026

إفشاء

18/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364478

CPE

جاهز

CWE

CWE-639 (مؤكد)

CVSS

9.1 (NVD)

EPSS

0.00038

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41947
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41947
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41947/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!