Zn9988

**Nome do Software Vulnerável e Versões Afetadas** Versões do DIFY anteriores à 1.3.0 **Descrição** Uma vulnerabilidade de clickjacking foi identificada na configuração padrão da aplicação DIFY, permitindo que atores maliciosos induzam os usuários a clicar em elementos da página web sem seu conhecimento ou consentimento. Isso pode resultar na execução de ações não autorizadas, comprometendo potencialmente a segurança e a privacidade dos usuários. **Recomendações** Para versões anteriores à 1.3.0, atualize para a versão 1.3.0 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Dify anteriores à 0.6.12 **Descrição** O problema envolve uma falha de controle de acesso no Dify, uma plataforma de desenvolvimento de aplicativos de LLM de código aberto. Essa falha permite que usuários não administradores realizem acesso não autorizado e alterações nos aplicativos, mesmo que a interface web de orquestração de aplicativos não seja exibida para usuários comuns. **Recomendações** Para versões anteriores à 0.6.12, atualize para a versão 0.6.12 para resolver o problema. Como contorno temporário, considere atualizar os mecanismos de controle de acesso para aplicar permissões de função de usuário mais rigorosas e implementar controles de acesso baseados em função (RBAC), garantindo que apenas usuários com privilégios de administrador possam acessar a Orquestração dos Aplicativos.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Dify 0.6.8 e anteriores **Descrição** Uma vulnerabilidade foi identificada no DIFY AI onde usuários comuns recebem indevidamente permissões para exportar o DSL do aplicativo. A funcionalidade em "/export" deveria permitir apenas que usuários administradores exportem o DSL. **Recomendações** Para as versões 0.6.8 e anteriores, atualize os mecanismos de controle de acesso para aplicar permissões de função de usuário mais rigorosas e implementar controles de acesso baseados em função (RBAC) para garantir que apenas usuários com privilégios de administrador possam exportar o DSL do aplicativo. Atualize para a versão 0.6.13 para corrigir a vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Dify anteriores à 0.6.12 **Descrição** Foi identificada uma vulnerabilidade de segurança no Dify, uma plataforma de desenvolvimento de aplicativos LLM de código aberto, na qual usuários comuns recebem indevidamente permissões para editar nomes, descrições e ícones de aplicativos. Essa falha de controle de acesso permite que usuários não administradores modifiquem detalhes do aplicativo, representando um risco à segurança e à integridade da aplicação. **Recomendações** Para versões anteriores à 0.6.12, atualize para a versão 0.6.12 para resolver o problema. Como medida temporária, considere atualizar os mecanismos de controle de acesso para aplicar permissões de função de usuário mais rigorosas e implementar controles de acesso baseados em função (RBAC), garantindo que apenas usuários com privilégios de administrador possam modificar os detalhes do aplicativo.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Dify anteriores à 0.6.12 **Descrição** Uma vulnerabilidade foi identificada no Dify, uma plataforma de desenvolvimento de aplicativos de LLM de código aberto, na qual usuários comuns podem ativar ou desativar aplicativos por meio da API, apesar de não terem permissão para realizar tais alterações. Essa falha de controle de acesso permite que usuários não administradores realizem alterações não autorizadas, comprometendo a funcionalidade e a disponibilidade dos aplicativos. **Recomendações** Para versões anteriores à 0.6.12, atualize para a versão 0.6.12 para resolver o problema. Como medida temporária, considere atualizar os mecanismos de controle de acesso da API para aplicar permissões de função de usuário mais rigorosas e implementar controles de acesso baseados em função (RBAC), garantindo que apenas usuários com privilégios de administrador possam enviar solicitações de ativação ou desativação de aplicativos.

**Nome do software vulnerável e versões afetadas** Versões do Ghost 4.0.0 a 4.9.4 **Descrição** Um erro na implementação do serviço de limites permite que todos os usuários autenticados, incluindo colaboradores, visualizem chaves de API de nível administrativo por meio do “ponto de extremidade da API de integrações”, levando a um problema de escalonamento de privilégios. Isso permite o acesso não autorizado a informações confidenciais. É altamente recomendável regenerar todas as chaves de API após a aplicação do patch ou da solução alternativa. **Recomendações** Para as versões 4.0.0 a 4.9.4 do Ghost, atualize para a versão 4.10.0 o mais rápido possível. Como solução alternativa temporária, considere desativar todas as contas que não sejam de administrador para impedir o acesso à API. Após aplicar o patch ou a solução alternativa, gere novamente todas as chaves de API para garantir a segurança.