Cybersecurity-onderzoekers hebben details onthuld van vier kwetsbaarheden in Dify, een open-source agentic workflow-platform met meer dan 146.000 GitHub-sterren, waarmee aanvallers heimelijk kunstmatige intelligentie (AI)-conversies van de applicaties van andere klanten kunnen lezen zonder dat authenticatie vereist is.
De kwetsbaarheden hebben gezamenlijk een codenaam gekregen DifyTap door Zafran Beveiliging.
“Twee waren van kritieke ernst, twee vereisten geen authenticatie en drie hadden een cross-tenant impact op de multi-tenant cloudservice van Dify, waardoor de gegevens van de ene klant aan de andere konden worden blootgesteld”, aldus onderzoekers Ido Shani en Gal Zaban.
Door de beveiligingsfouten hadden aanvallers privé-AI-chats van de applicaties van andere klanten kunnen lezen, waardoor voor elk bericht en modelantwoord een geheim exfiltratiekanaal ontstond.
Ze maakten het ook mogelijk om de interne Plugin Daemon API van Dify te doorkruisen vanuit niet-geverifieerde verzoeken en interne API-aanroepen tussen verschillende tenants te activeren, evenals een voorbeeld van documenten te bekijken die door andere tenants zijn geüpload en om bestanden tussen gebruikers binnen een tenant te lekken door de unieke bestandsidentificatie van een andere gebruiker toe te voegen.
Daarnaast zei Zafran dat het ook ontdekte dat de file parsing-stack van Dify afhankelijk was van een versie van PDFium, een open-source C++-bibliotheek voor PDF-weergave, die kwetsbaar was voor CVE-2024-5846 (CVSS-score: 8,8), een twee jaar oude ‘use-after-free’-bug waarmee een aanvaller op afstand potentieel heap-corruptie kan misbruiken via een vervaardigd PDF-bestand.
De resterende kwetsbaarheden worden hieronder vermeld:
- CVE-2026-41947 (CVSS-score: 9.1) – Een kwetsbaarheid om autorisatie te omzeilen waarmee geverifieerde editorgebruikers traceerconfiguraties kunnen instellen en inschakelen voor elke toepassing, ongeacht het eigendom van de tenant.
- CVE-2026-41948 (CVSS-score: 9,4) – Een kwetsbaarheid bij het doorlopen van paden waarmee geauthenticeerde gebruikers verzoeken kunnen manipuleren die worden doorgestuurd naar de interne REST API van de Plugin Daemon door gebruik te maken van onvoldoende opschoning van URL-paden en toegang te krijgen tot interne, privé-eindpunten.
- CVE-2026-41949 (CVSS-score: 7,5/5,9) – Een kwetsbaarheid voor het omzeilen van autorisatie in het bestandsvoorbeeldeindpunt (“/console/api/files/{file_id}/preview”) waarmee elke geverifieerde gebruiker maximaal 3.000 tekens van elk geüpload document in alle tenants en werkruimten kan lezen met alleen de UUID van het bestand.
- CVE-2026-41950 (CVSS-score: 6,5) – Een kwetsbaarheid om autorisatie te omzeilen waarmee geverifieerde gebruikers de volledige inhoud kunnen lezen van bestanden die zijn geüpload door andere gebruikers binnen dezelfde tenant door een willekeurige bestands-UUID op te geven in de bestandenreeks van een chatberichtverzoek.
De ontbrekende controles op het eigendom van de tenant kunnen worden misbruikt om alle berichten en antwoorden van slachtofferapplicaties om te leiden naar een door de aanvaller gecontroleerde LLM-traceerprovider. Het is vermeldenswaard dat iedereen zich gratis kan registreren voor een Dify-account.
“Als gevolg hiervan kan een aanvaller zijn eigen tracering configureren voor elke applicatie waartoe hij als client toegang heeft, inclusief alle openbaar toegankelijke applicaties”, leggen de onderzoekers uit. “Hierdoor kan een aanvaller een persistent exfiltratiekanaal creëren voor alle berichten en antwoorden die in de applicatie worden verzonden.”
Na de verantwoorde openbaarmaking zijn alle kwetsbaarheden met uitzondering van CVE-2026-41948 verholpen in versie 1.14.2, die vorige maand werd uitgebracht. Er wordt verwacht dat er in de volgende release van Dify een oplossing voor de aanstaande fout beschikbaar zal komen.
“DifyTap laat zien waar de uitdaging ligt in de zichtbaarheid van kwetsbaarheden, vooral in containerimages, waar verschillen tussen implementaties gaten in de zichtbaarheid kunnen creëren die traditionele scanners niet kunnen detecteren”, aldus het bedrijf.
