CVE-2026-41948 in difyinformación

Resumen

por VulDB • 2026-05-18

Dify versión 1.14.1 y anteriores contienen una vulnerabilidad de traversal de ruta que permite a usuarios autenticados manipular las solicitudes reenviadas a la API REST interna del Plugin Daemon, aprovechando una sanitización insuficiente de la ruta de la URL. Los atacantes pueden salirse de la ruta de su inquilino autorizado mediante secuencias de puntos no codificadas en identificadores de tareas o parámetros de nombre de archivo manipulados para acceder a puntos finales internos, como interfaces de depuración, requiriendo únicamente el conocimiento del UUID del inquilino víctima. NOTA: Dify Cloud permite el registro gratuito sin autenticación, lo que hace que la creación de cuentas sea trivialmente accesible para cualquier atacante.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

VulnCheck

Reservar

2026-04-22

Divulgación

2026-05-18

Moderación

aceptado

Artículo

VDB-364479

CPE

listo

EPSS

0.00079

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41948
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41948
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41948/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!