CVE-2026-41950 in difyالمعلومات

الملخص

بحسب VulDB • 28/05/2026

تحتوي Dify قبل الإصدار 1.14.0 على ثغرة لتجاوز التفويض (authorization bypass) تتيح للمستخدمين المصادق عليهم قراءة المحتوى الكامل للملفات التي قام مستخدمون آخرون برفعها ضمن نفس المستأجر (tenant)، وذلك عن طريق توفير معرف UUID عشوائي للملف في مصفوفة الملفات ضمن طلب chat-messages. يمكن للمهاجمين استغلال التحقق غير الكافي من الصلاحيات في نقاط النهاية (endpoints) الخاصة بـ chat-messages للوصول إلى الملفات دون التحقق من ملكيتها، متجاوزين بذلك عزل مساحة العمل وحماية عناوين URL الموقعة لاسترداد محتويات الملفات الحساسة عبر معالجة سير العمل.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

VulnCheck

حجز

22/04/2026

إفشاء

06/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-361258

CPE

جاهز

CWE

CWE-639 (مؤكد)

CVSS

6.5 (CNA)

EPSS

0.00030

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41950
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41950
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41950/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!