Mastodon Mastodon Mastodon Mastodon

DifyTap legt massive Mandantentrennungsluecken in Dify offen

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

In der offenen Plattform zur Erstellung von AI-Agenten Dify wurden vier Schwachstellen entdeckt, die unter dem gemeinsamen Namen DifyTap zusammengefasst werden – zwei davon mit kritischem Schweregrad und CVSS-Bewertungen von 9.1 und 9.4. Nach Angaben der Forschenden von Zafran Security ermoeglichten die Schwachstellen Angreifenden, private AI-Konversationen von Anwendungen anderer Kunden im mandantenfaehigen Cloud-Service von Dify verdeckt mitzulesen und so einen dauerhaften Kanal zur Datenabfuehrung aufzubauen. Die Plattform, die auf GitHub bereits mehr als 146 000 Stars auf GitHub verzeichnet, hat in Version 1.14.2 bereits Patches fuer drei der vier Schwachstellen veroefentlicht. Organisationen, die Dify einsetzen, muessen umgehend aktualisieren.

Technische Details der Schwachstellen

Den Angaben der Zafran-Forschenden zufolge hatten drei der vier Schwachstellen mandantenuebergreifende Auswirkungen, und zwei erforderten keine Authentifizierung. Nachfolgend eine detaillierte Analyse jeder einzelnen Schwachstelle.

CVE-2026-41947 – Umgehung der Autorisierung in Tracing-Konfigurationen (CVSS 9.1)

CVE-2026-41947 ist eine Schwachstelle zur Umgehung der Autorisierung, die authentifizierten Nutzenden mit der Rolle Editor erlaubt, Tracing-Konfigurationen fuer beliebige Anwendungen zu setzen und zu aktivieren – unabhaengig von der Zugehoerigkeit zum Mandanten. Das Fehlen einer Pruefung der Mandanten-Eigentuemerschaft bedeutet, dass ein Angreifender saemtliche Nachrichten und Modellantworten aus den Anwendungen des Opfers an einen von ihm kontrollierten LLM-Tracing-Provider umleiten konnte. Laut den Forschenden liess sich damit ein dauerhafter Exfiltrationskanal fuer alle Nachrichten und Antworten einrichten, einschliesslich solcher aus oeffentlich zugaenglichen Anwendungen.

CVE-2026-41948 – Path Traversal zum internen Plugin Daemon API (CVSS 9.4)

CVE-2026-41948 ist die kritischste Schwachstelle des Pakets. Es handelt sich um eine Path-Traversal-Schwachstelle, die eine unzureichende Bereinigung von URL-Pfaden bei der Weiterleitung von Requests an das interne REST API des Plugin Daemon ausnutzt. Ein authentifizierter Nutzender konnte Requests so manipulieren, dass er auf interne private Endpunkte zugreifen und mandantenuebergreifende Aufrufe des internen API ausloesen konnte. Dies ist die einzige Schwachstelle, fuer die bislang noch kein Patch veroeffentlicht wurde – ein Fix wird im naechsten Dify-Release erwartet.

CVE-2026-41949 – Lesen von Dokumenten anderer Mandanten (CVSS 7.5/5.9)

CVE-2026-41949 ist eine Umgehung der Autorisierung an der File-Preview-Endpunkt (/console/api/files/{file_id}/preview). Jeder authentifizierte Nutzende konnte bis zu 3 000 Zeichen eines beliebigen hochgeladenen Dokuments in allen Mandanten und Workspaces lesen, sofern ihm lediglich die UUID der Datei bekannt war.

CVE-2026-41950 – Datei-Leakage innerhalb eines Mandanten (CVSS 6.5)

CVE-2026-41950 ist eine Umgehung der Autorisierung, die authentifizierten Nutzenden ermoeglicht, den vollstaendigen Inhalt von Dateien zu lesen, die von anderen Nutzenden innerhalb desselben Mandanten hochgeladen wurden, indem eine beliebige Datei-UUID in das Array files der chat-messages-Anfrage eingesetzt wird.

Zusaetzlich: Veraltete PDFium-Version

Zusaetzlich zu den vier Hauptschwachstellen stellten die Forschenden fest, dass der File-Parsing-Stack von Dify eine Version der Bibliothek PDFium nutzte, die von CVE-2024-5846 (CVSS 8.8) betroffen ist – einer zwei Jahre alten use-after-free-Schwachstelle, die es einem entfernten Angreifenden ermoeglichen kann, ueber speziell praepa rierte PDF-Dateien eine Heap-Korruption auszunutzen.

Auswirkungsanalyse

Die Kombination der entdeckten Schwachstellen stellt eine ernste Bedrohung fuer das Mehrmandantenmodell von Dify dar. Wichtig ist die Differenzierung: Auch wenn die Forschenden ein Szenario des «verdeckten Abhoerens ohne Authentifizierung» beschreiben, erfordert der Mehrheit der CVE-Beschreibungen in der NVD zufolge authentifizierten Zugriff. Dennoch bleibt die Einstiegshu erde niedrig – nach Angaben der Forschenden steht die Registrierung eines Kontos bei Dify allen offen.

Am staerksten gefaehrdet sind:

  • Nutzende des Dify-Cloud-Services – die mandantenuebergreifenden Schwachstellen CVE-2026-41947 und CVE-2026-41949 betreffen direkt die Datenisolierung zwischen Kunden
  • Organisationen mit oeffentlich zugaenglichen AI-Anwendungen auf Dify – ein Angreifender konnte Tracing fuer jede oeffentliche Anwendung konfigurieren und saemtliche Dialoge der Nutzenden mit dem Modell abfangen
  • Betreibende von Self-Hosted-Deployments – die Path-Traversal-Schwachstelle CVE-2026-41948 mit CVSS 9.4 ermoeglicht den Zugriff auf interne API und ist besonders gefaehrlich bei unzureichender Netzsegmentierung

Potenzielle Folgen umfassen die Exfiltration vertraulicher Daten aus AI-Konversationen (einschliesslich personenbezogener Daten, Geschaeftsgeheimnissen und internen Dokumenten) sowie die Moeglichkeit der Kompromittierung der internen Infrastruktur ueber den Zugriff auf das Plugin Daemon API.

Empfehlungen zur Behebung

  1. Aktualisieren Sie Dify auf Version 1.14.2 oder hoeher – dadurch werden CVE-2026-41947, CVE-2026-41949 und CVE-2026-41950 geschlossen. Der Release ist auf GitHub verfuegbar.
  2. Fuer CVE-2026-41948 (CVSS 9.4) – ein Patch ist noch nicht veroeffentlicht. Als temporaere Massnahme sollten Sie den Netzwerkzugriff auf das interne Plugin Daemon API beschraenken und sicherstellen, dass es von aussen nicht erreichbar ist. Verfolgen Sie die Veroeffentlichung des naechsten Dify-Releases.
  3. Fuehren Sie ein Audit der Tracing-Konfigurationen durch – pruefen Sie, ob nicht autorisierte Tracing-Provider zu Ihren Anwendungen hinzugefuegt wurden. Jede unbekannte Konfiguration kann auf eine Kompromittierung hinweisen.
  4. Pruefen Sie die Zugriffsprotokolle – achten Sie auf anomale Requests an die Endpunkte /console/api/files/*/preview und an das Plugin Daemon API, insbesondere mit untypischen Path-Traversal-Mustern.
  5. Fuer Container-Deployments – stellen Sie sicher, dass die Container-Images aktualisiert sind, einschliesslich Abhaengigkeiten wie PDFium. Die Forschenden weisen darauf hin, dass Unterschiede zwischen Deployments «blinde Flecken» erzeugen koennen, die traditionelle Scanner nicht erkennen.

Der Fall DifyTap macht ein systemisches Problem von AI-Plattformen mit Mehrmandanten-Architektur deutlich: Unzureichende Pruefungen der Ressourcenzugehoerigkeit verwandeln grundlegende Funktionen – Tracing, File-Preview, Messaging – in Vektoren fuer mandantenuebergreifende Datenlecks. Angesichts der Tatsache, dass CVE-2026-41948 weiterhin ungepatcht ist, besteht die vorrangige Massnahme fuer Dify-Administratoren darin, umgehend auf Version 1.14.2 zu aktualisieren und parallel dazu den Netzwerkzugriff auf die internen Plugin Daemon API bis zur Bereitstellung eines vollstaendigen Fixes einzuschraenken.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen