Los investigadores de ciberseguridad han revelado detalles de cuatro vulnerabilidades en Dify, una plataforma de flujo de trabajo agente de código abierto con más de 146.000 estrellas de GitHub, que podría permitir a los atacantes leer sigilosamente conversiones de inteligencia artificial (IA) de las aplicaciones de otros clientes sin requerir autenticación.
Las vulnerabilidades han recibido un nombre en código colectivo. DifyTap por Seguridad Zafran.
“Dos eran de gravedad crítica, dos no requerían autenticación y tres tenían un impacto entre inquilinos en el servicio de nube multiinquilino de Dify, permitiendo que los datos de un cliente quedaran expuestos a otro”, dijeron los investigadores Ido Shani y Gal Zaban.
Los defectos de seguridad podrían haber permitido a los atacantes leer chats privados de IA de las aplicaciones de otros clientes, creando un canal de exfiltración encubierto para cada mensaje y respuesta modelo.
También hicieron posible atravesar la API interna de Plugin Daemon de Dify desde solicitudes no autenticadas y activar llamadas API internas entre inquilinos, así como obtener una vista previa de los documentos cargados por otros inquilinos y filtrar archivos entre usuarios dentro de un inquilino adjuntando el identificador único del archivo de otro usuario.
Por otra parte, Zafran dijo que también descubrió que la pila de análisis de archivos de Dify se basaba en una versión de PDFium, una biblioteca C++ de código abierto para renderizado de PDF, que era vulnerable a CVE-2024-5846 (puntaje CVSS: 8.8), un error de uso después de la liberación de dos años de antigüedad que podría permitir a un atacante remoto explotar potencialmente la corrupción del montón a través de un archivo PDF manipulado.
Las vulnerabilidades restantes se enumeran a continuación:
- CVE-2026-41947 (Puntuación CVSS: 9,1): una vulnerabilidad de omisión de autorización que permite a los usuarios del editor autenticados establecer y habilitar configuraciones de seguimiento para cualquier aplicación, independientemente de la propiedad del inquilino.
- CVE-2026-41948 (Puntuación CVSS: 9,4): una vulnerabilidad de recorrido de ruta que permite a los usuarios autenticados manipular las solicitudes enviadas a la API REST interna del Plugin Daemon explotando una desinfección insuficiente de la ruta URL y accediendo a puntos finales privados internos.
- CVE-2026-41949 (Puntuación CVSS: 7,5/5,9): una vulnerabilidad de omisión de autorización en el punto final de vista previa de archivos (“/console/api/files/{file_id}/preview”) que permite a cualquier usuario autenticado leer hasta 3000 caracteres de cualquier documento cargado en todos los inquilinos y espacios de trabajo utilizando solo el UUID del archivo.
- CVE-2026-41950 (Puntuación CVSS: 6,5): una vulnerabilidad de omisión de autorización que permite a los usuarios autenticados leer el contenido completo de los archivos cargados por otros usuarios dentro del mismo inquilino al proporcionar un UUID de archivo arbitrario en la matriz de archivos de una solicitud de mensajes de chat.
Las comprobaciones de propiedad de los inquilinos que faltan se pueden aprovechar para redirigir todos los mensajes y respuestas de las aplicaciones de las víctimas a un proveedor de seguimiento LLM controlado por el atacante. Vale la pena señalar que cualquiera puede registrarse libremente para obtener una cuenta Dify.
“En consecuencia, un atacante puede configurar su propio seguimiento para cualquier aplicación a la que pueda acceder como cliente, lo que incluye todas las aplicaciones de acceso público”, explicaron los investigadores. “Esto permite a un atacante crear un canal de exfiltración persistente para todos los mensajes y respuestas enviados en la aplicación”.
Tras una divulgación responsable, todas las vulnerabilidades excepto CVE-2026-41948 se abordaron en la versión 1.14.2, que se lanzó el mes pasado. Se espera que una solución para la falla pendiente esté disponible en la próxima versión de Dify.
“DifyTap demuestra dónde reside el desafío en la visibilidad de la vulnerabilidad, particularmente en imágenes de contenedores, donde las diferencias entre implementaciones pueden crear brechas de visibilidad que los escáneres tradicionales no pueden detectar”, dijo la compañía.