CVE-2025-3466 in dify
요약
\~에 의해 VulDB • 2026. 06. 23.
langgenius/dify 버전 1.1.0부터 1.1.2까지의 코드 노드에서 비정상화된 입력(Unsanitized input)으로 인해 루트 권한으로 임의 코드를 실행할 수 있는 취약점이 존재합니다. 이 취약점은 샌드박스 보안 제한이 적용되기 전에 parseInt와 같은 전역 JavaScript 함수를 재정의할 수 있기 때문에 발생합니다. 이를 통해 비밀 키에 대한 무단 접근, 내부 네트워크 서버 침투 및 dify.ai 내에서의 횡단 이동(Lateral movement)이 가능해질 수 있습니다. 해당 문제는 버전 1.1.3에서 해결되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.