Alertan sobre vulnerabilidades en Dify que comprometen chats de IA
Publicado el
Vulnerabilidades en Dify
Investigadores de Zafran Security han identificado cuatro vulnerabilidades críticas en Dify, una plataforma de flujo de trabajo de código abierto que cuenta con más de 146,000 estrellas en GitHub. Estas fallas, conocidas como DifyTap, podrían permitir a atacantes acceder sigilosamente a conversaciones de inteligencia artificial (IA) de otras aplicaciones de clientes sin necesidad de autenticación.
De las vulnerabilidades encontradas, dos son de severidad crítica y tres tienen impacto cross-tenant en el servicio en la nube multi-tenant de Dify. Esto significa que los datos de un cliente podrían ser expuestos a otro. Según los investigadores Ido Shani y Gal Zaban, las vulnerabilidades permitieron a los atacantes leer chats privados de IA, estableciendo un canal de exfiltración encubierta para cualquier mensaje y respuesta del modelo.
Además, se descubrió que era posible traversar la API interna de Dify desde solicitudes no autenticadas, desencadenando llamadas API internas entre tenants. Los atacantes también podían previsualizar documentos subidos por otros tenants y filtrar archivos de usuarios dentro de un tenant usando el identificador único de otro usuario.
Detalles de las vulnerabilidades
Entre las vulnerabilidades específicas se incluyen: - CVE-2026-41947 (CVSS 9.1): Un fallo de bypass de autorización que permite a usuarios autenticados establecer y habilitar configuraciones de seguimiento para cualquier aplicación, sin importar la propiedad del tenant. - CVE-2026-41948 (CVSS 9.4): Una vulnerabilidad de traversal de ruta que permite a usuarios autenticados manipular solicitudes dirigidas a la API REST interna del Plugin Daemon. - CVE-2026-41949 (CVSS 7.5/5.9): Un fallo en el endpoint de previsualización de archivos que permite a cualquier usuario autenticado leer hasta 3,000 caracteres de cualquier documento subido en todos los tenants. - CVE-2026-41950 (CVSS 6.5): Un bypass de autorización que permite a usuarios autenticados acceder al contenido completo de archivos subidos por otros usuarios dentro del mismo tenant.
Estos fallos pueden ser explotados para redirigir todos los mensajes y respuestas de aplicaciones víctimas a un proveedor de trazado LLM controlado por un atacante. Cabe destacar que cualquier persona puede registrarse para obtener una cuenta en Dify, lo que facilita a los atacantes configurar su propio seguimiento para cualquier aplicación accesible públicamente.
Respuesta a la divulgación
Tras una divulgación responsable, se han abordado todas las vulnerabilidades, excepto CVE-2026-41948, en la versión 1.14.2, lanzada el mes pasado. Se espera que la solución para esta última falla esté disponible en la próxima actualización de Dify.
Zafran Security ha señalado que DifyTap pone de manifiesto los desafíos en la visibilidad de vulnerabilidades, especialmente en imágenes de contenedor, donde las diferencias entre despliegues pueden crear brechas de visibilidad que los escáneres tradicionales no pueden detectar. La situación subraya la importancia de mantener medidas de seguridad robustas en plataformas de software, especialmente aquellas que manejan datos sensibles de múltiples clientes.