CVE-2024-11822

Nome do Software Vulnerável e Versões Afetadas langgenius/dify versão 0.9.1

Descrição O problema está relacionado a uma vulnerabilidade de Falsificação de Solicitação no Lado do Servidor (SSRF). Esta vulnerabilidade existe devido ao tratamento inadequado do parâmetro api endpoint, permitindo que um atacante faça solicitações diretas a serviços de rede internos. Isso pode levar ao acesso não autorizado a servidores internos e potencialmente expor informações sensíveis, incluindo o acesso ao endpoint de metadados da AWS.

Recomendações Para a versão 0.9.1, considere restringir o acesso ao parâmetro api endpoint para minimizar o risco de exploração. Como solução temporária (workaround), evite usar o parâmetro api endpoint em operações sensíveis até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.