CVE-2025-3466 in dify
Zusammenfassung
von VulDB • 24.06.2026
In den Versionen von langgenius/dify ab 1.1.0 bis einschließlich 1.1.2 besteht eine Schwachstelle aufgrund ungesäuberter Eingaben im Code-Knoten, die die Ausführung beliebigen Codes mit vollständigen Root-Berechtigungen ermöglicht. Die Schwachstelle entsteht durch die Möglichkeit, globale JavaScript-Funktionen wie parseInt zu überschreiben, bevor Sandbox-Sicherheitsbeschränkungen wirksam werden. Dies kann zu unbefugtem Zugriff auf Geheimnis-Keys (Secret Keys), interne Netzwerkserversysteme und zur lateralen Bewegung innerhalb von dify.ai führen. Das Problem wurde in Version 1.1.3 behoben.
Once again VulDB remains the best source for vulnerability data.