CVE-2025-3466 in difyinformazioni

Riassunto

di VulDB • 22/06/2026

Le versioni di langgenius/dify dalla 1.1.0 alla 1.1.2 sono vulnerabili a input non sanificato nel nodo di codice, consentendo l'esecuzione di codice arbitrario con pieni privilegi di root. La vulnerabilità deriva dalla possibilità di sovrascrivere funzioni globali in JavaScript, come parseInt, prima che vengano imposti i vincoli di sicurezza della sandbox. Ciò può portare ad accesso non autorizzato a chiavi segrete, server di rete interna e movimento laterale all'interno di dify.ai. Il problema è risolto nella versione 1.1.3.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

@huntr Ai

Prenotare

09/04/2025

Divulgazione

07/07/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00718

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!