В открытой платформе для создания AI-агентов Dify обнаружены четыре уязвимости, получившие общее название DifyTap, — две из них критического уровня с оценками CVSS 9.1 и 9.4. По данным исследователей из Zafran Security, уязвимости позволяли атакующим скрытно читать приватные AI-переписки приложений других клиентов в мультиарендаторном облачном сервисе Dify, создавая постоянный канал утечки данных. Платформа, насчитывающая более 146 000 звёзд на GitHub, уже выпустила исправления для трёх из четырёх уязвимостей в версии 1.14.2. Организациям, использующим Dify, необходимо немедленно обновиться.
Технические детали уязвимостей
По данным исследователей Zafran, три из четырёх уязвимостей имели межарендаторное воздействие, а две не требовали аутентификации. Ниже — детальный разбор каждой из них.
CVE-2026-41947 — обход авторизации в конфигурации трассировки (CVSS 9.1)
CVE-2026-41947 — уязвимость обхода авторизации, позволяющая аутентифицированным пользователям с ролью редактора устанавливать и активировать конфигурации трассировки для любого приложения, независимо от принадлежности к арендатору. Отсутствие проверки владения арендатором означает, что атакующий мог перенаправить все сообщения и ответы моделей из приложений жертвы на контролируемый им провайдер трассировки LLM. Как сообщают исследователи, это позволяло создать постоянный канал эксфильтрации для всех сообщений и ответов, включая публично доступные приложения.
CVE-2026-41948 — обход пути к внутреннему API Plugin Daemon (CVSS 9.4)
CVE-2026-41948 — наиболее критическая уязвимость набора. Это уязвимость обхода пути, эксплуатирующая недостаточную санитизацию URL-путей при перенаправлении запросов к внутреннему REST API Plugin Daemon. Аутентифицированный пользователь мог манипулировать запросами для доступа к внутренним приватным конечным точкам и инициировать межарендаторные вызовы внутреннего API. Это единственная уязвимость, для которой исправление ещё не выпущено — патч ожидается в следующем релизе Dify.
CVE-2026-41949 — чтение документов других арендаторов (CVSS 7.5/5.9)
CVE-2026-41949 — обход авторизации в конечной точке предпросмотра файлов (/console/api/files/{file_id}/preview). Любой аутентифицированный пользователь мог прочитать до 3 000 символов любого загруженного документа во всех арендаторах и рабочих пространствах, зная лишь UUID файла.
CVE-2026-41950 — утечка файлов внутри арендатора (CVSS 6.5)
CVE-2026-41950 — обход авторизации, позволяющий аутентифицированным пользователям читать полное содержимое файлов, загруженных другими пользователями в рамках того же арендатора, путём подстановки произвольного UUID файла в массив files запроса chat-messages.
Дополнительно: устаревшая версия PDFium
Помимо четырёх основных уязвимостей, исследователи также обнаружили, что стек парсинга файлов Dify использовал версию библиотеки PDFium, подверженную CVE-2024-5846 (CVSS 8.8) — двухлетней уязвимости типа use-after-free, которая может позволить удалённому атакующему эксплуатировать повреждение кучи через специально сформированный PDF-файл.
Оценка воздействия
Совокупность обнаруженных уязвимостей создаёт серьёзную угрозу для мультиарендаторной модели Dify. Важно разграничивать: хотя исследователи описывают сценарий «скрытного прослушивания без аутентификации», согласно описаниям NVD, большинство CVE требуют аутентифицированного доступа. Тем не менее, барьер входа остаётся низким — по данным исследователей, регистрация аккаунта в Dify доступна для всех.
Наибольшему риску подвергаются:
- Пользователи облачного сервиса Dify — межарендаторные уязвимости CVE-2026-41947 и CVE-2026-41949 напрямую затрагивают изоляцию данных между клиентами
- Организации с публично доступными AI-приложениями на Dify — атакующий мог настроить трассировку на любое публичное приложение, перехватывая все диалоги пользователей с моделью
- Операторы самостоятельных развёртываний — уязвимость обхода пути CVE-2026-41948 с CVSS 9.4 позволяет получить доступ к внутренним API, что особенно опасно при недостаточной сетевой сегментации
Потенциальные последствия включают утечку конфиденциальных данных из AI-переписок (включая персональные данные, коммерческую тайну, внутренние документы), а также возможность компрометации внутренней инфраструктуры через доступ к Plugin Daemon API.
Рекомендации по устранению
- Обновите Dify до версии 1.14.2 или выше — это закрывает CVE-2026-41947, CVE-2026-41949 и CVE-2026-41950. Релиз доступен на GitHub.
- Для CVE-2026-41948 (CVSS 9.4) — патч пока не выпущен. В качестве временной меры ограничьте сетевой доступ к внутреннему API Plugin Daemon, убедившись, что он недоступен извне. Отслеживайте выход следующего релиза Dify.
- Проведите аудит конфигураций трассировки — проверьте, не были ли добавлены несанкционированные провайдеры трассировки к вашим приложениям. Любая неизвестная конфигурация может указывать на компрометацию.
- Проверьте журналы доступа — обратите внимание на аномальные запросы к конечным точкам
/console/api/files/*/previewи к API Plugin Daemon, особенно с нетипичными паттернами обхода пути. - Для контейнерных развёртываний — убедитесь, что образы контейнеров обновлены, включая зависимости вроде PDFium. Исследователи отмечают, что различия между развёртываниями могут создавать «слепые зоны», которые традиционные сканеры не обнаруживают.
Случай DifyTap демонстрирует системную проблему AI-платформ с мультиарендаторной архитектурой: недостаточные проверки принадлежности ресурсов превращают базовые функции — трассировку, предпросмотр файлов, обмен сообщениями — в векторы межарендаторной утечки данных. Учитывая, что CVE-2026-41948 остаётся без патча, приоритетным действием для администраторов Dify является немедленное обновление до версии 1.14.2 с параллельным ограничением сетевого доступа к внутренним API Plugin Daemon до выхода полного исправления.
