CVE-2026-41948 in dify
요약
\~에 의해 VulDB • 2026. 05. 18.
Dify 버전 1.14.1 및 이전 버전에는 경로 순회 취약점이 존재하며, 이는 불충분한 URL 경로 정제 처리를 악용하여 인증된 사용자가 플러그인 데몬의 내부 REST API로 전달되는 요청을 조작할 수 있게 합니다. 공격자는 작업 식별자 또는 조작된 파일명 매개변수에서 인코딩되지 않은 점 시퀀스를 사용하여 승인된 테넌트 경로 밖으로 이동하고, 피해자 테넌트의 UUID만 알면 디버그 인터페이스와 같은 내부 엔드포인트에 접근할 수 있습니다. 참고: Dify Cloud는 비인증 무료 자기 등록을 허용하므로, 공격자가 계정을 생성하는 것은 매우 용이합니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.