Mastodon Mastodon Mastodon Mastodon

Análisis de DifyTap: cuatro fallos que exponen datos en Dify

Foto del autor

CyberSecureFox Editorial Team

Publicado:

En la plataforma abierta para la creación de agentes de IA Dify se han descubierto cuatro vulnerabilidades, denominadas en conjunto DifyTap; dos de ellas son de nivel crítico, con puntuaciones CVSS de 9.1 y 9.4. Según los investigadores de Zafran Security, las vulnerabilidades permitían a los atacantes leer de forma sigilosa las conversaciones de IA privadas de las aplicaciones de otros clientes en el servicio en la nube multicliente de Dify, creando un canal persistente de fuga de datos. La plataforma, que acumula más de 146 000 estrellas en GitHub, ya ha publicado correcciones para tres de las cuatro vulnerabilidades en la versión 1.14.2. Las organizaciones que utilizan Dify deben actualizarse de inmediato.

Detalles técnicos de las vulnerabilidades

Según los datos de los investigadores de Zafran, tres de las cuatro vulnerabilidades tenían impacto entre inquilinos y dos no requerían autenticación. A continuación se ofrece un análisis detallado de cada una de ellas.

CVE-2026-41947: bypass de autorización en la configuración de trazas (CVSS 9.1)

CVE-2026-41947 es una vulnerabilidad de bypass de autorización que permite a usuarios autenticados con rol de editor establecer y activar configuraciones de trazas para cualquier aplicación, con independencia de a qué inquilino pertenezca. La ausencia de una comprobación de propiedad por parte del inquilino implica que un atacante podía redirigir todos los mensajes y respuestas de los modelos desde las aplicaciones de la víctima hacia un proveedor de trazas de LLM controlado por él. Según indican los investigadores, esto permitía crear un canal persistente de exfiltración para todos los mensajes y respuestas, incluidas las aplicaciones de acceso público.

CVE-2026-41948: path traversal hacia el API interno de Plugin Daemon (CVSS 9.4)

CVE-2026-41948 es la vulnerabilidad más crítica del conjunto. Se trata de una vulnerabilidad de path traversal que explota la sanitización insuficiente de las rutas URL al redirigir solicitudes hacia el REST API interno de Plugin Daemon. Un usuario autenticado podía manipular las solicitudes para acceder a endpoints internos privados e iniciar llamadas entre inquilinos al API interno. Esta es la única vulnerabilidad para la que aún no se ha publicado una corrección; el parche se espera en el próximo lanzamiento de Dify.

CVE-2026-41949: lectura de documentos de otros inquilinos (CVSS 7.5/5.9)

CVE-2026-41949 es un bypass de autorización en el endpoint de vista previa de archivos (/console/api/files/{file_id}/preview). Cualquier usuario autenticado podía leer hasta 3 000 caracteres de cualquier documento cargado en todos los inquilinos y espacios de trabajo, con solo conocer el UUID del archivo.

CVE-2026-41950: fuga de archivos dentro del inquilino (CVSS 6.5)

CVE-2026-41950 es un bypass de autorización que permite a usuarios autenticados leer el contenido completo de archivos cargados por otros usuarios dentro del mismo inquilino, sustituyendo un UUID de archivo arbitrario en el array files de la solicitud chat-messages.

Adicionalmente: versión obsoleta de PDFium

Además de las cuatro vulnerabilidades principales, los investigadores también descubrieron que la pila de parsing de archivos de Dify utilizaba una versión de la biblioteca PDFium vulnerable a CVE-2024-5846 (CVSS 8.8), una vulnerabilidad de tipo use-after-free de dos años de antigüedad que puede permitir a un atacante remoto explotar una corrupción de heap mediante un archivo PDF especialmente diseñado.

Evaluación del impacto

El conjunto de vulnerabilidades descubiertas supone una amenaza grave para el modelo multicliente de Dify. Es importante hacer una distinción: aunque los investigadores describen un escenario de «escucha sigilosa sin autenticación», según las descripciones de NVD, la mayoría de los CVE requieren acceso autenticado. No obstante, la barrera de entrada sigue siendo baja: según los investigadores, el registro de cuentas en Dify está disponible para cualquiera.

Están expuestos al mayor riesgo:

  • Usuarios del servicio en la nube de Dify: las vulnerabilidades entre inquilinos CVE-2026-41947 y CVE-2026-41949 afectan directamente a la separación de datos entre clientes
  • Organizaciones con aplicaciones de IA de acceso público en Dify: un atacante podía configurar trazas en cualquier aplicación pública, interceptando todos los diálogos de los usuarios con el modelo
  • Operadores de despliegues autogestionados: la vulnerabilidad de path traversal CVE-2026-41948, con CVSS 9.4, permite acceder a APIs internas, lo que resulta especialmente peligroso cuando la segmentación de red es insuficiente

Las posibles consecuencias incluyen la filtración de datos confidenciales procedentes de conversaciones de IA (incluidos datos personales, secretos comerciales y documentos internos), así como la posible puesta en compromiso de la infraestructura interna a través del acceso al API de Plugin Daemon.

Recomendaciones de mitigación

  1. Actualice Dify a la versión 1.14.2 o superior: esto corrige CVE-2026-41947, CVE-2026-41949 y CVE-2026-41950. La versión está disponible en GitHub.
  2. Para CVE-2026-41948 (CVSS 9.4): el parche aún no se ha publicado. Como medida temporal, limite el acceso de red al API interno de Plugin Daemon, asegurándose de que no sea accesible desde el exterior. Esté atento al próximo lanzamiento de Dify.
  3. Realice una auditoría de las configuraciones de trazas: compruebe si se han añadido proveedores de trazas no autorizados a sus aplicaciones. Cualquier configuración desconocida puede indicar una posible intrusión.
  4. Revise los registros de acceso: preste atención a solicitudes anómalas dirigidas a los endpoints /console/api/files/*/preview y al API de Plugin Daemon, especialmente aquellas con patrones de path traversal poco habituales.
  5. Para despliegues en contenedores: asegúrese de que las imágenes de contenedor estén actualizadas, incluidas dependencias como PDFium. Los investigadores señalan que las diferencias entre despliegues pueden crear «puntos ciegos» que los escáneres tradicionales no detectan.

El caso DifyTap pone de manifiesto un problema sistémico de las plataformas de IA con arquitectura multicliente: las comprobaciones insuficientes de propiedad de los recursos convierten funciones básicas —trazado, vista previa de archivos, mensajería— en vectores de fuga de datos entre inquilinos. Dado que CVE-2026-41948 sigue sin parche, la acción prioritaria para los administradores de Dify es actualizar inmediatamente a la versión 1.14.2 y, en paralelo, restringir el acceso de red a los APIs internos de Plugin Daemon hasta la publicación de una corrección completa.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio