CVE-2026-41948 in difyinfo

Zusammenfassung

von VulDB • 18.05.2026

In Dify versione 1.14.1 e precedenti è presente una vulnerabilità di path traversal che consente agli utenti autenticati di manipolare le richieste inoltrate all'API REST interna del Plugin Daemon sfruttando una sanitizzazione insufficiente del percorso URL. Gli attaccanti possono uscire dal percorso del tenant autorizzato utilizzando sequenze di punti non codificate negli identificatori delle attività o nei parametri del nome file manipolati per accedere a endpoint interni, come le interfacce di debug, richiedendo solo la conoscenza dell'UUID del tenant vittima. NOTA: Dify Cloud consente la registrazione gratuita non autenticata, rendendo la creazione di un account facilmente accessibile a qualsiasi attaccante.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

VulnCheck

Reservieren

22.04.2026

Veröffentlichung

18.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364479

CPE

bereit

EPSS

0.00079

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41948
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41948
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41948/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!