PT-2025-52282 · Dify · Dify
Cristliu
·
Publicado
2025-12-18
·
Atualizado
2026-01-28
·
CVE-2025-63387
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Dify versão 1.9.1
Descrição
A versão 1.9.1 do Dify apresenta um problema com permissões inseguras. Um atacante não autenticado pode enviar solicitações HTTP GET para o endpoint da API
/console/api/system-features sem fornecer nenhuma autenticação. O endpoint não verifica corretamente a autorização, permitindo acesso não autorizado a dados sensíveis de configuração do sistema. Aproximadamente 85.000 instâncias foram identificadas online no último ano.Recomendações
Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, restrinja o acesso ao endpoint
/console/api/system-features.Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dify