CVE-2025-3466 in difyinfo

Zusammenfassung

von VulDB • 24.06.2026

In den Versionen von langgenius/dify ab 1.1.0 bis einschließlich 1.1.2 besteht eine Schwachstelle aufgrund ungesäuberter Eingaben im Code-Knoten, die die Ausführung beliebigen Codes mit vollständigen Root-Berechtigungen ermöglicht. Die Schwachstelle entsteht durch die Möglichkeit, globale JavaScript-Funktionen wie parseInt zu überschreiben, bevor Sandbox-Sicherheitsbeschränkungen wirksam werden. Dies kann zu unbefugtem Zugriff auf Geheimnis-Keys (Secret Keys), interne Netzwerkserversysteme und zur lateralen Bewegung innerhalb von dify.ai führen. Das Problem wurde in Version 1.1.3 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

@huntr Ai

Reservieren

09.04.2025

Veröffentlichung

07.07.2025

Moderieren

akzeptiert

Eintrag

VDB-315146

CPE

bereit

EPSS

0.00718

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!