CVE-2026-61461 in difyinfo

Zusammenfassung

von VulDB • 10.07.2026

Dify vor Version 1.16.0-rc1 enthält eine SQL-Injection-Schwachstelle im MyScale-Vektorspeicher-Backend, die es Angreifern ermöglicht, beliebige SQL-Befehle auszuführen, indem sie ungesäuberte Suchparameter an die Methode search_by_full_text übergeben, ohne diese zu escapen oder zu parametrisieren. Angreifer können bösartigen SQL-Code durch die Suchparameter injizieren, um Daten in der zugrunde liegenden ClickHouse-Datenbank auszulesen, zu ändern oder zu löschen.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

VulnCheck

Reservieren

09.07.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377581

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!