Kast3T

**Nome do Software Vulnerável e Versões Afetadas** Dify versões anteriores a 1.13.1 **Descrição** Existe um problema nesta plataforma de desenvolvimento de aplicativos LLM de código aberto onde usuários podem fazer upload de arquivos SVG contendo Cross-Site Scripting (XSS), uma técnica que permite que invasores executem scripts maliciosos no navegador da vítima. Isso pode ser feito através do endpoint não autenticado "POST /api/files/upload" ou do endpoint autenticado "POST /v1/files/upload". **Recomendações** Atualize para a versão 1.13.1.

Nome do Software Vulnerável e Versões Afetadas Versões do Dify anteriores à 1.9.0 Descrição A API do Dify exibe respostas diferentes ao ser consultada para contas existentes e inexistentes, o que pode permitir que um atacante enumere endereços de e-mail registrados na plataforma Dify. Esse problema afeta a capacidade do aplicativo de proteger as informações dos usuários. Recomendações Atualize para a versão 1.9.0 ou posterior.