CVE-2026-41950 in difyinformación

Resumen

por VulDB • 2026-05-18

Dify antes de la versión 1.14.0 contiene una vulnerabilidad de elusión de autorización que permite a los usuarios autenticados leer el contenido completo de los archivos cargados por otros usuarios dentro del mismo inquilino (tenant) mediante el suministro de un UUID de archivo arbitrario en la matriz de archivos de una solicitud de chat-messages. Los atacantes pueden explotar la verificación insuficiente de permisos en los extremos (endpoints) de chat-messages para acceder a archivos sin validación de propiedad, eludiendo la separación del espacio de trabajo y las protecciones de URL firmadas para recuperar el contenido sensible de los archivos a través del procesamiento de flujos de trabajo.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

VulnCheck

Reservar

2026-04-22

Divulgación

2026-05-06

Moderación

aceptado

Artículo

VDB-361258

CPE

listo

EPSS

0.00030

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41950
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41950
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41950/

AnteriorVisión De ConjuntoPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!