В відкритій платформі для створення AI-агентів Dify виявлено чотири вразливості, що отримали загальну назву DifyTap, — дві з них критичного рівня з оцінками CVSS 9.1 і 9.4. За даними дослідників із Zafran Security, вразливості дозволяли зловмисникам приховано читати приватне AI-листування застосунків інших клієнтів у мультиорендному хмарному сервісі Dify, створюючи постійний канал витоку даних. Платформа, що має понад 146 000 зірок на GitHub, уже випустила виправлення для трьох із чотирьох вразливостей у версії 1.14.2. Організаціям, які використовують Dify, необхідно негайно оновитися.
Технічні деталі вразливостей
За даними дослідників Zafran, три з чотирьох вразливостей мали міжорендний вплив, а дві не вимагали автентифікації. Нижче — детальний розбір кожної з них.
CVE-2026-41947 — обхід авторизації в конфігурації трасування (CVSS 9.1)
CVE-2026-41947 — вразливість обходу авторизації, яка дозволяє автентифікованим користувачам із роллю редактора встановлювати й активувати конфігурації трасування для будь-якого застосунку, незалежно від належності до орендаря. Відсутність перевірки належності до орендаря означає, що зловмисник міг перенаправити всі повідомлення та відповіді моделей із застосунків жертви на контрольований ним провайдер трасування LLM. Як зазначають дослідники, це дозволяло створити постійний канал ексфільтрації для всіх повідомлень і відповідей, включно з публічно доступними застосунками.
CVE-2026-41948 — обхід шляху до внутрішнього API Plugin Daemon (CVSS 9.4)
CVE-2026-41948 — найкритичніша вразливість у наборі. Це вразливість обходу шляху, що експлуатує недостатнє очищення (санітизацію) URL-шляхів під час перенаправлення запитів до внутрішнього REST API Plugin Daemon. Автентифікований користувач міг маніпулювати запитами, отримуючи доступ до внутрішніх приватних кінцевих точок і ініціюючи міжорендні виклики внутрішнього API. Це єдина вразливість, для якої виправлення ще не випущено — патч очікується в наступному релізі Dify.
CVE-2026-41949 — читання документів інших орендарів (CVSS 7.5/5.9)
CVE-2026-41949 — обхід авторизації в кінцевій точці попереднього перегляду файлів (/console/api/files/{file_id}/preview). Будь-який автентифікований користувач міг прочитати до 3 000 символів будь-якого завантаженого документа в усіх орендарів і робочих просторах, знаючи лише UUID файла.
CVE-2026-41950 — витік файлів усередині орендаря (CVSS 6.5)
CVE-2026-41950 — обхід авторизації, який дозволяє автентифікованим користувачам читати повний вміст файлів, завантажених іншими користувачами в межах того самого орендаря, шляхом підстановки довільного UUID файла в масив files запиту chat-messages.
Додатково: застаріла версія PDFium
Окрім чотирьох основних вразливостей, дослідники також виявили, що стек парсингу файлів Dify використовував версію бібліотеки PDFium, уразливу до CVE-2024-5846 (CVSS 8.8) — дворічної вразливості типу use-after-free, яка може дозволити віддаленому зловмиснику експлуатувати пошкодження купи через спеціально сформований PDF-файл.
Оцінка впливу
Сукупність виявлених вразливостей створює серйозну загрозу для мультиорендної моделі Dify. Важливо розмежовувати: хоча дослідники описують сценарій «прихованого прослуховування без автентифікації», згідно з описами NVD, більшість CVE вимагають автентифікованого доступу. Втім, бар’єр входу залишається низьким — за даними дослідників, реєстрація акаунта в Dify доступна для всіх.
Найбільшому ризику піддаються:
- Користувачі хмарного сервісу Dify — міжорендні вразливості CVE-2026-41947 і CVE-2026-41949 безпосередньо впливають на ізоляцію даних між клієнтами
- Організації з публічно доступними AI-застосунками на Dify — зловмисник міг налаштувати трасування на будь-який публічний застосунок, перехоплюючи всі діалоги користувачів із моделлю
- Оператори самостійних розгортань — вразливість обходу шляху CVE-2026-41948 з CVSS 9.4 дозволяє отримати доступ до внутрішніх API, що особливо небезпечно за недостатньої мережевої сегментації
Потенційні наслідки включають витік конфіденційних даних із AI-чатів (зокрема персональних даних, комерційної таємниці, внутрішніх документів), а також можливість компрометації внутрішньої інфраструктури через доступ до Plugin Daemon API.
Рекомендації щодо усунення
- Оновіть Dify до версії 1.14.2 або вище — це закриває CVE-2026-41947, CVE-2026-41949 і CVE-2026-41950. Реліз доступний на GitHub.
- Для CVE-2026-41948 (CVSS 9.4) — патч поки що не випущено. Як тимчасовий захід обмежте мережевий доступ до внутрішнього API Plugin Daemon, переконавшись, що він недоступний ззовні. Відстежуйте вихід наступного релізу Dify.
- Проведіть аудит конфігурацій трасування — перевірте, чи не були додані несанкціоновані провайдери трасування до ваших застосунків. Будь-яка невідома конфігурація може свідчити про компрометацію.
- Перевірте журнали доступу — зверніть увагу на аномальні запити до кінцевих точок
/console/api/files/*/previewі до API Plugin Daemon, особливо з нетиповими патернами обходу шляху. - Для контейнерних розгортань — переконайтеся, що образи контейнерів оновлені, зокрема залежності на кшталт PDFium. Дослідники відзначають, що відмінності між розгортаннями можуть створювати «сліпі зони», які традиційні сканери не виявляють.
Випадок DifyTap демонструє системну проблему AI-платформ із мультиорендною архітектурою: недостатні перевірки належності ресурсів перетворюють базові функції — трасування, попередній перегляд файлів, обмін повідомленнями — на вектори міжорендного витоку даних. З огляду на те, що CVE-2026-41948 досі залишається без патча, пріоритетною дією для адміністраторів Dify є негайне оновлення до версії 1.14.2 із паралельним обмеженням мережевого доступу до внутрішніх API Plugin Daemon до виходу повного виправлення.
