CVE-2026-41949 in difyИнформация

Сводка

по VulDB • 19.05.2026

В версиях Dify 1.14.1 и более ранних присутствует уязвимость обхода авторизации в конечной точке предварительного просмотра файлов, которая позволяет любому аутентифицированному пользователю читать до 3000 символов любого загруженного документа во всех арендаторах и рабочих пространствах, используя только UUID файла. Злоумышленники могут получить доступ к конечной точке /console/api/files/{file_id}/preview с перехваченным UUID файла, чтобы извлечь конфиденциальное содержимое из документов без проверки прав владения или доступа к рабочему пространству. ПРИМЕЧАНИЕ: Dify Cloud позволяет бесплатную саморегистрацию без аутентификации, что делает создание учетной записи тривиально доступным для любого злоумышленника.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

VulnCheck

Резервировать

22.04.2026

Раскрытие

18.05.2026

Модерация

принято

Вход

VDB-364477

CPE

готов

CWE

CWE-639 (Подтверждённый)

CVSS

7.5 (NVD)

EPSS

0.00040

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41949
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41949
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41949/

◂ Предыдущий Обзор Далее ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!