Eric-G

#13054de 53,632
20.3CVSS total
Vulnerabilidades · 4
Baixa
1
Média
3
PT-2026-41589
3.3
2026-05-17
Continue · Continue · CVE-2026-8770
**Nome do Software Vulnerável e Versões Afetadas** continuedev continue versões anteriores a 1.2.23 **Descrição** Um problema de path traversal existe no componente JSON-RPC Server, especificamente na função `lsTool()` do arquivo `core/tools/implementations/lsTool.ts`. Isso ocorre quando o argumento `dirPath` é manipulado, permitindo que um invasor local acesse arquivos ou diretórios fora da pasta pretendida. **Recomendações** Atualize para uma versão posterior a 1.2.22. Como medida paliativa temporária, restrinja o acesso à função `lsTool()` para minimizar o risco de exploração.
PT-2026-33730
6.5
2026-04-20
Langgenius · Dify · CVE-2026-6617
**Name of the Vulnerable Software and Affected Versions** Langgenius Dify versões anteriores a 0.7.0 **Description** Uma falsificação de solicitação do lado do servidor (SSRF) existe no componente ApiToolManageService. O problema ocorre na função `get api tool provider remote schema()` localizada no arquivo 'api/services/tools/api tools manage service.py'. Um invasor remoto pode disparar isso manipulando o argumento `url`. **Recommendations** Atualize para uma versão posterior a 0.6.9. Como medida paliativa temporária, restrinja o acesso à função `get api tool provider remote schema()` até que a atualização seja aplicada.
PT-2026-33733
6.5
2026-04-20
Langgenius · Dify · CVE-2026-6618
A flaw has been found in langgenius dify up to 1.13.3. This issue affects the function parse openai plugin json to tool bundle of the file api/core/tools/utils/parser.py of the component ApiBasedToolSchemaParser. Executing a manipulation of the argument url can lead to server-side request forgery. The attack can be launched remotely. The exploit has been published and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
PT-2026-33734
4.0
2026-04-20
Langgenius · Dify · CVE-2026-6619
A vulnerability has been found in langgenius dify up to 1.13.3. Impacted is the function openInNewTab of the file web/app/components/base/image-uploader/image-preview.tsx of the component ImagePreview. The manipulation of the argument filename leads to cross site scripting. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.