CVE-2025-32796

Nome do Software Vulnerável e Versões Afetadas Versões do Dify anteriores à 0.6.12

Descrição Uma vulnerabilidade foi identificada no Dify, uma plataforma de desenvolvimento de aplicativos de LLM de código aberto, na qual usuários comuns podem ativar ou desativar aplicativos por meio da API, apesar de não terem permissão para realizar tais alterações. Essa falha de controle de acesso permite que usuários não administradores realizem alterações não autorizadas, comprometendo a funcionalidade e a disponibilidade dos aplicativos.

Recomendações Para versões anteriores à 0.6.12, atualize para a versão 0.6.12 para resolver o problema. Como medida temporária, considere atualizar os mecanismos de controle de acesso da API para aplicar permissões de função de usuário mais rigorosas e implementar controles de acesso baseados em função (RBAC), garantindo que apenas usuários com privilégios de administrador possam enviar solicitações de ativação ou desativação de aplicativos.