CVE-2026-41950

Nome do Software Vulnerável e Versões Afetadas Dify versões anteriores a 1.14.0

Descrição Uma falha de bypass de autorização permite que usuários autenticados leiam o conteúdo completo de arquivos enviados por outros usuários dentro do mesmo tenant. Isso ocorre devido à verificação insuficiente de permissões no endpoint 'chat-messages', que não valida a propriedade do arquivo. Ao fornecer um UUID de arquivo arbitrário no array files de uma requisição 'chat-messages', invasores podem ignorar a separação de workspace e as proteções de URL assinada para recuperar conteúdos de arquivos sensíveis através do processamento de workflow.

Recomendações Atualize para a versão 1.14.0 ou posterior.