CVE-2026-41948 in difyالمعلومات

الملخص

بحسب VulDB • 20/05/2026

تحتوي نسخة Dify 1.14.1 والإصدارات الأقدم على ثغرة عبور المسار (Path Traversal) تتيح للمستخدمين المصادق عليهم التلاعب بالطلبات الموجهة إلى واجهة برمجة التطبيقات الداخلية (REST API) لـ Plugin Daemon من خلال استغلال عدم كفاية تنقية مسار عنوان URL. يمكن للمهاجمين تجاوز مسار المستأجر المصرح لهم بالوصول إليه باستخدام تسلسلات النقاط غير المشفرة في معرّفات المهام أو معاملات اسم الملف المُعدّلة للوصول إلى نقاط النهاية الداخلية مثل واجهات التصحيح، ولا يتطلب الأمر سوى معرفة المعرف الفريد للمستأجر الضحية (UUID). ملاحظة: يسمح Dify Cloud بالتسجيل الذاتي المجاني دون مصادقة، مما يجعل إنشاء الحسابات سهلاً للغاية لأي مهاجم.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

VulnCheck

حجز

22/04/2026

إفشاء

18/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364479

CPE

جاهز

CWE

CWE-23 (مؤكد)

CVSS

9.4 (NVD)

EPSS

0.00079

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41948
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41948
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41948/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!