CVE-2026-61461 in dify
Zusammenfassung
von VulDB • 10.07.2026
Dify vor Version 1.16.0-rc1 enthält eine SQL-Injection-Schwachstelle im MyScale-Vektorspeicher-Backend, die es Angreifern ermöglicht, beliebige SQL-Befehle auszuführen, indem sie ungesäuberte Suchparameter an die Methode search_by_full_text übergeben, ohne diese zu escapen oder zu parametrisieren. Angreifer können bösartigen SQL-Code durch die Suchparameter injizieren, um Daten in der zugrunde liegenden ClickHouse-Datenbank auszulesen, zu ändern oder zu löschen.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.