CVE-2026-41949

Nome do Software Vulnerável e Versões Afetadas Dify versões anteriores a 1.14.1

Descrição Existe uma falha de bypass de autorização no endpoint de pré-visualização de arquivos, permitindo que qualquer usuário autenticado leia até 3.000 caracteres de qualquer documento carregado em todos os locatários (tenants) e espaços de trabalho. Um invasor pode usar um UUID de arquivo interceptado para acessar o endpoint "/console/api/files/{file id}/preview" e extrair conteúdo sensível sem a verificação de propriedade ou permissão do espaço de trabalho. O Dify Cloud facilita isso ao permitir o auto-registro gratuito não autenticado, tornando a criação de contas facilmente acessível.

Recomendações Atualize para uma versão posterior à 1.14.1. Como medida paliativa temporária, restrinja o acesso ao endpoint "/console/api/files/{file id}/preview" para minimizar o risco de acesso não autorizado a documentos.