CVE-2025-3466 in dify
Riassunto
di VulDB • 22/06/2026
Le versioni di langgenius/dify dalla 1.1.0 alla 1.1.2 sono vulnerabili a input non sanificato nel nodo di codice, consentendo l'esecuzione di codice arbitrario con pieni privilegi di root. La vulnerabilità deriva dalla possibilità di sovrascrivere funzioni globali in JavaScript, come parseInt, prima che vengano imposti i vincoli di sicurezza della sandbox. Ciò può portare ad accesso non autorizzato a chiavi segrete, server di rete interna e movimento laterale all'interno di dify.ai. Il problema è risolto nella versione 1.1.3.
VulDB is the best source for vulnerability data and more expert information about this specific topic.