كشف باحثو الأمن السيبراني عن تفاصيل أربع نقاط ضعف في Dify، وهي منصة سير عمل وكيلة مفتوحة المصدر تضم أكثر من 146000 نجم GitHub، والتي يمكن أن تسمح للمهاجمين بقراءة تحويلات الذكاء الاصطناعي (AI) خلسة من تطبيقات العملاء الآخرين دون الحاجة إلى المصادقة.
تم تسمية نقاط الضعف بشكل جماعي DifyTap بواسطة زعفران الأمن.
وقال الباحثان إيدو شاني وجال زابان: “اثنان منها كانا شديدي الخطورة، واثنان لا يتطلبان مصادقة، وثلاثة لها تأثير عبر المستأجرين على الخدمة السحابية متعددة المستأجرين من Dify، مما يسمح بكشف بيانات أحد العملاء لآخر”.
ومن الممكن أن تكون العيوب الأمنية قد سمحت للمهاجمين بقراءة محادثات الذكاء الاصطناعي الخاصة من تطبيقات العملاء الآخرين، مما أدى إلى إنشاء قناة ترشيح سرية لكل رسالة واستجابة نموذجية.
لقد أتاحت أيضًا اجتياز واجهة برمجة تطبيقات البرنامج المساعد الداخلي لـ Dify من الطلبات غير المصادق عليها وتشغيل مكالمات واجهة برمجة التطبيقات الداخلية عبر المستأجرين، بالإضافة إلى معاينة المستندات التي تم تحميلها من قبل مستأجرين آخرين وتسريب الملفات عبر المستخدمين داخل المستأجر عن طريق إرفاق معرف فريد لملف مستخدم آخر.
بشكل منفصل، قال Zafran إنه اكتشف أيضًا أن مكدس تحليل ملف Dify يعتمد على إصدار PDFium، وهي مكتبة C++ مفتوحة المصدر لعرض PDF، والتي كانت عرضة لـ CVE-2024-5846 (درجة CVSS: 8.8)، وهو خطأ عمره عامين يمكن استخدامه بعد الاستخدام المجاني والذي قد يسمح للمهاجم عن بعد باستغلال تلف الكومة عبر ملف PDF معد.
نقاط الضعف المتبقية مذكورة أدناه –
- CVE-2026-41947 (درجة CVSS: 9.1) – ثغرة أمنية لتجاوز التفويض تسمح لمستخدمي المحرر المعتمدين بتعيين تكوينات التتبع وتمكينها لأي تطبيق بغض النظر عن ملكية المستأجر.
- CVE-2026-41948 (درجة CVSS: 9.4) – ثغرة أمنية في اجتياز المسار تسمح للمستخدمين المعتمدين بمعالجة الطلبات المعاد توجيهها إلى واجهة برمجة التطبيقات REST API الداخلية لـ Plugin Daemon من خلال استغلال عدم كفاية عملية تعقيم مسار URL والوصول إلى نقاط النهاية الداخلية والخاصة.
- CVE-2026-41949 (درجة CVSS: 7.5/5.9) – ثغرة أمنية في تجاوز التفويض في نقطة نهاية معاينة الملف (“/console/api/files/{file_id}/preview”) والتي تسمح لأي مستخدم تمت مصادقته بقراءة ما يصل إلى 3000 حرف من أي مستند تم تحميله عبر جميع المستأجرين ومساحات العمل باستخدام UUID الخاص بالملف فقط.
- CVE-2026-41950 (درجة CVSS: 6.5) – ثغرة أمنية في تجاوز التفويض تسمح للمستخدمين المعتمدين بقراءة المحتويات الكاملة للملفات التي تم تحميلها من قبل مستخدمين آخرين داخل نفس المستأجر من خلال توفير UUID ملف عشوائي في مجموعة الملفات لطلب رسائل الدردشة.
يمكن استغلال عمليات التحقق من ملكية المستأجر المفقودة لإعادة توجيه جميع الرسائل والاستجابات من تطبيقات الضحية إلى موفر تتبع LLM الذي يتحكم فيه المهاجم. تجدر الإشارة إلى أنه يمكن لأي شخص التسجيل بحرية للحصول على حساب Dify.
وأوضح الباحثون: “وبالتالي، يمكن للمهاجم تكوين التتبع الخاص به لأي تطبيق يمكنه الوصول إليه كعميل، والذي يتضمن جميع التطبيقات التي يمكن الوصول إليها بشكل عام”. “يسمح هذا للمهاجم بإنشاء قناة ترشيح مستمرة لجميع الرسائل والردود المرسلة في التطبيق.”
بعد الكشف المسؤول، تمت معالجة كافة الثغرات الأمنية باستثناء CVE-2026-41948 في الإصدار 1.14.2، الذي تم شحنه الشهر الماضي. من المتوقع أن يتم توفير إصلاح الخلل المعلق في الإصدار التالي من Dify.
وقالت الشركة: “يوضح DifyTap أين يكمن التحدي في رؤية الثغرات الأمنية، خاصة في صور الحاويات، حيث يمكن أن تؤدي الاختلافات بين عمليات النشر إلى خلق فجوات في الرؤية لا تستطيع الماسحات الضوئية التقليدية اكتشافها”.
