Các nhà nghiên cứu chi tiết về lỗ hổng DifyTap trong Dify có thể làm lộ các cuộc trò chuyện AI giữa các Tenant

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về bốn lỗ hổng trong Dify, một nền tảng quy trình làm việc agentic mã nguồn mở với hơn 146.000 sao trên GitHub, có thể cho phép kẻ tấn công lén lút đọc các cuộc hội thoại trí tuệ nhân tạo (AI) từ ứng dụng của các khách hàng khác mà không cần xác thực. Các lỗ hổng này được Zafran Security đặt mã chung là DifyTap.
DifyTap Vulnerabilities

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về bốn lỗ hổng trong Dify, một nền tảng quy trình làm việc agentic mã nguồn mở với hơn 146.000 sao trên GitHub, có thể cho phép kẻ tấn công lén lút đọc các cuộc hội thoại trí tuệ nhân tạo (AI) từ ứng dụng của các khách hàng khác mà không cần xác thực.

Các lỗ hổng này được Zafran Security đặt mã chung là DifyTap.

"Hai lỗ hổng ở mức độ nghiêm trọng critical, hai lỗ hổng không yêu cầu xác thực và ba lỗ hổng có tác động chéo giữa các tenant trên dịch vụ đám mây đa tenant của Dify, cho phép dữ liệu của một khách hàng bị lộ cho khách hàng khác," các nhà nghiên cứu Ido Shani và Gal Zaban cho biết.

Các khiếm khuyết bảo mật này có thể cho phép kẻ tấn công đọc các cuộc chat AI riêng tư từ ứng dụng của các khách hàng khác, tạo ra một kênh exfiltration bí mật cho mọi tin nhắn và phản hồi từ mô hình.

Chúng cũng giúp kẻ tấn công có thể thâm nhập vào Plugin Daemon API nội bộ của Dify từ các yêu cầu không được xác thực và kích hoạt các cuộc gọi API nội bộ chéo tenant, cũng như xem trước các tài liệu được tải lên bởi các tenant khác và làm rò rỉ tệp giữa những người dùng trong cùng một tenant bằng cách gắn mã định danh duy nhất (UUID) của tệp của người dùng khác.

Ngoài ra, Zafran cho biết họ cũng phát hiện ra rằng ngăn xếp phân tích tệp của Dify dựa trên một phiên bản PDFium, một thư viện C++ mã nguồn mở để kết xuất PDF, đang bị dính lỗ hổng CVE-2024-5846 (điểm CVSS: 8.8). Đây là một lỗi use-after-free đã tồn tại hai năm, có thể cho phép kẻ tấn công từ xa khai thác lỗi heap corruption thông qua một tệp PDF được thiết kế đặc biệt.

Dify Architecture and Vulnerabilities

Danh sách các lỗ hổng còn lại:

  • CVE-2026-41947 (điểm CVSS: 9.1) - Một lỗ hổng authorization bypass cho phép người dùng có quyền biên tập (editor) đã xác thực có thể thiết lập và kích hoạt cấu hình trace cho bất kỳ ứng dụng nào mà không cần quan tâm đến quyền sở hữu tenant.
  • CVE-2026-41948 (điểm CVSS: 9.4) - Một lỗ hổng path traversal cho phép người dùng đã xác thực thao túng các yêu cầu được chuyển tiếp đến REST API nội bộ của Plugin Daemon bằng cách khai thác việc làm sạch đường dẫn URL không đầy đủ và truy cập vào các endpoint nội bộ riêng tư.
  • CVE-2026-41949 (điểm CVSS: 7.5/5.9) - Một lỗ hổng authorization bypass trong endpoint xem trước tệp ("/console/api/files/{file_id}/preview") cho phép bất kỳ người dùng đã xác thực nào đọc tới 3.000 ký tự của bất kỳ tài liệu nào được tải lên trên tất cả các tenant và workspace chỉ bằng cách sử dụng UUID của tệp.
  • CVE-2026-41950 (điểm CVSS: 6.5) - Một lỗ hổng authorization bypass cho phép người dùng đã xác thực đọc toàn bộ nội dung của các tệp được tải lên bởi người dùng khác trong cùng một tenant bằng cách cung cấp UUID tệp tùy ý trong mảng tệp của một yêu cầu chat-messages.

Việc thiếu kiểm tra quyền sở hữu tenant có thể bị khai thác để chuyển hướng tất cả tin nhắn và phản hồi từ các ứng dụng của nạn nhân sang một nhà cung cấp LLM trace do kẻ tấn công kiểm soát. Đáng chú ý là bất kỳ ai cũng có thể tự do đăng ký tài khoản Dify.

"Do đó, kẻ tấn công có thể định cấu hình tracing của riêng họ cho bất kỳ ứng dụng nào mà họ có thể truy cập với tư cách là khách hàng, bao gồm tất cả các ứng dụng có thể truy cập công khai," các nhà nghiên cứu giải thích. "Điều này cho phép kẻ tấn công tạo ra một kênh exfiltration lâu dài cho tất cả các tin nhắn và phản hồi được gửi trong ứng dụng."

Sau khi được báo cáo, tất cả các lỗ hổng ngoại trừ CVE-2026-41948 đã được xử lý trong phiên bản 1.14.2, được phát hành vào tháng trước. Bản sửa lỗi cho lỗ hổng còn lại dự kiến sẽ có trong bản phát hành tiếp theo của Dify.

"DifyTap cho thấy thách thức nằm ở khả năng hiển thị lỗ hổng, đặc biệt là trong các container image, nơi sự khác biệt giữa các lần triển khai có thể tạo ra các khoảng trống về khả năng hiển thị mà các công cụ quét truyền thống không thể phát hiện," công ty cho biết.