CVE-2025-0184

Nome do Software Vulnerável e Versões Afetadas langgenius/dify versão 0.10.2

Descrição Uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) foi identificada na seção 'Create Knowledge' durante o upload de arquivos DOCX. Se houver um relacionamento externo no arquivo DOCX, o valor reltype é requisitado como uma URL utilizando o módulo requests em vez do ssrf proxy, o que resulta em uma vulnerabilidade SSRF.

Recomendações Para a versão 0.10.2, atualize para a versão 0.11.0 para corrigir o problema. Como medida temporária, considere restringir o upload de arquivos DOCX com relacionamentos externos ou desativar a seção 'Create Knowledge' até que a atualização seja aplicada.