CVE-2025-3466 in dify
Sumário
de VulDB • 24/06/2026
As versões do langgenius/dify de 1.1.0 a 1.1.2 são vulneráveis à entrada não sanitizada no nó de código, permitindo a execução de código arbitrário com plenos privilégios root. A vulnerabilidade surge da capacidade de substituir funções globais em JavaScript, como parseInt, antes que as restrições de segurança do sandbox sejam impostas. Isso pode levar ao acesso não autorizado a chaves secretas, servidores de rede interna e movimentação lateral dentro do dify.ai. O problema é resolvido na versão 1.1.3.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.