Dify漏洞可致攻击者跨租户窃听AI数据，超百万应用受影响

Dify平台存在的多个高危漏洞可能导致敏感AI数据在租户间泄露潜在影响超过100万个应用程序。该平台为AI工作流、聊天机器人和检索增强生成RAG管道提供支持已被沃尔沃、马士基、松下和赛默飞世尔等众多企业广泛采用。跨租户数据泄露风险研究团队发现四个安全漏洞其中包含两个关键漏洞CVE-2026-41947CVSS 9.1和CVE-2026-41948CVSS 9.4。其中三个漏洞可导致Dify多租户云部署环境遭受跨租户攻击使攻击者能够访问其他客户的数据。最严重的漏洞允许攻击者在未经租户验证的情况下直接配置受害者应用程序的追踪功能。利用此漏洞攻击者可完整获取包括用户提问和模型响应在内的全部聊天记录从而建立持久的数据外泄通道。插件守护进程漏洞另一个关键漏洞影响Dify的Plugin Daemon服务。由于输入处理不当攻击者可通过精心构造的GET和POST请求利用路径遍历漏洞访问内部API。值得注意的是这些端点无需身份验证极大提高了漏洞利用风险。文件处理机制缺陷漏洞还影响Dify的文件处理机制研究人员发现攻击者能够未经授权预览其他租户上传的文档仅凭文件UUID即可访问PDF和图像等敏感文件将现有文件标识符附加至新消息诱骗AI模型泄露文件内容这些漏洞源于薄弱的权限执行和间接访问控制模型导致跨租户及租户内部数据泄露风险并存。过时组件遗留风险除逻辑缺陷外Dify被发现使用存在CVE-2024-5846释放后重用漏洞的旧版PDFium组件。该漏洞在披露后仍存在于生产环境长达18个月攻击者可能通过上传恶意PDF文件实施利用。这暴露出AI平台在处理不可信文件格式时普遍存在的沙箱隔离和依赖管理不足问题。修复与缓解措施Dify已发布1.14.2版本修复CVE-2026-41947、CVE-2026-41949和CVE-2026-41950针对CVE-2026-41948的补丁已合并并将于后续版本发布。安全团队应立即升级至最新版本部署WAF规则阻断路径遍历攻击监控插件和文件相关端点的可疑活动并尽可能减少Dify实例的公开暴露。AI基础设施系统性风险这些发现属于Zafran暗面计划的研究成果该计划专注于揭示AI基础设施的系统性弱点。与先前对Chainlit框架的研究类似本次披露凸显出现代AI系统基于微服务和容器化环境的架构特性会引入传统安全工具难以检测的新攻击面。为此Zafran开发了影子容器镜像组件增强技术可提升对容器镜像内应用层漏洞的可见性。典型攻击场景显示攻击者注册免费Dify云账户后可识别公共AI应用、提取其内部App ID并静默启用追踪功能从而持续获取所有用户交互数据而不被发现。随着AI应用加速普及这些漏洞凸显出加强隔离措施、安全架构设计和提升AI供应链可见性的紧迫需求。