PT-2026-36885 · Dify · Dify
Kast3T
·
Publicado
2026-05-04
·
Atualizado
2026-05-11
·
CVE-2026-42138
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Dify versões anteriores a 1.13.1
Descrição
Existe um problema nesta plataforma de desenvolvimento de aplicativos LLM de código aberto onde usuários podem fazer upload de arquivos SVG contendo Cross-Site Scripting (XSS), uma técnica que permite que invasores executem scripts maliciosos no navegador da vítima. Isso pode ser feito através do endpoint não autenticado "POST /api/files/upload" ou do endpoint autenticado "POST /v1/files/upload".
Recomendações
Atualize para a versão 1.13.1.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dify