CRITICAL🇬🇧 English

CVE-2025-63388

Błędna konfiguracja CORS w Dify — nieograniczony dostęp cross-origin z uwierzytelnieniem

CVSS 9.1v3.1pub. 2025-12-18upd. 2026-01-28

W aplikacji Dify v1.9.1 endpoint /console/api/system-features posiada zbyt permisywną politykę CORS, która odbija dowolny nagłówek Origin i ustawia Access-Control-Allow-Credentials: true. Umożliwia to dowolnej zewnętrznej domenie wykonywanie uwierzytelnionych żądań cross-origin w imieniu zalogowanego użytkownika.

Pokaż oryginał (EN)

A Cross-Origin Resource Sharing (CORS) misconfiguration vulnerability exists in Dify v1.9.1 in the /console/api/system-features endpoint. The endpoint implements an overly permissive CORS policy that reflects arbitrary Origin headers and sets Access-Control-Allow-Credentials: true, allowing any external domain to make authenticated cross-origin requests. NOTE: the Supplier disputes this, providing the rationale of "sending requests with credentials does not provide any additional access compared to unauthenticated requests."

🤖 Analiza AI
Jak działa

Podatny endpoint implementuje politykę CORS, która dynamicznie odzwierciedla wartość nagłówka Origin przesłanego przez klienta, zamiast ograniczać go do zaufanych domen. Jednocześnie odpowiedź zawiera nagłówek Access-Control-Allow-Credentials: true, co pozwala przeglądarce dołączyć do żądania ciasteczka sesji lub inne dane uwierzytelniające. W praktyce oznacza to, że złośliwa strona internetowa może skłonić zalogowanego użytkownika do odwiedzenia jej, a następnie wykonać w jego imieniu uwierzytelnione żądania do instancji Dify. Producent kwestionuje wagę podatności, argumentując, że żądania z danymi uwierzytelniającymi nie zapewniają dostępu do zasobów niedostępnych dla użytkowników nieuwierzytelnionych.

Skutki

Atakujący, który skłoni zalogowanego użytkownika do odwiedzenia złośliwej strony, może wykonywać w jego imieniu uwierzytelnione żądania do panelu Dify, potencjalnie uzyskując dostęp do wrażliwych danych konfiguracyjnych lub funkcji systemu. Zakres skutecznego ataku jest sporny i zależy od faktycznych mechanizmów kontroli dostępu na pozostałych endpointach.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako obejście zaleca się skonfigurowanie polityki CORS z jawną białą listą zaufanych domen zamiast dynamicznego odbijania nagłówka Origin, a także rozważenie usunięcia nagłówka Access-Control-Allow-Credentials: true dla endpointów publicznych lub ograniczenie go wyłącznie do zaufanych źródeł.

Kogo dotyczy

Langgenius Dify v1.9.1 — endpoint /console/api/system-features

Uwagi

Producent (Langgenius) formalnie kwestionuje zasadność podatności, twierdząc, że żądania z danymi uwierzytelniającymi nie dają atakującemu dodatkowego dostępu ponad to, co jest dostępne bez uwierzytelnienia. Mimo to podatność została opublikowana i sklasyfikowana jako CRITICAL (CVSS 9.1). Administratorzy powinni samodzielnie ocenić ryzyko w kontekście własnego wdrożenia.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Langgenius Dify

    APP
    Langgenius
    1.9.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-56157CRITICAL9.8PL ✓ten sam produkt

Domyślne dane uwierzytelniające PostgreSQL w Langgenius Dify

CVE-2025-63386CRITICAL9.1PL ✓ten sam produkt

Błędna konfiguracja CORS w Dify — endpoint /console/api/setup

CVE-2025-63387HIGH7.5ten sam produkt

Dify v1.9.1 is vulnerable to Insecure Permissions. An unauthenticated attacker can directly send HTTP GET requ...

CVE-2025-3466HIGH7.2ten sam produkt

langgenius/dify versions 1.1.0 to 1.1.2 are vulnerable to unsanitized input in the code node, allowing executi...

CVE-2025-43862HIGH7.6ten sam produkt

Dify is an open-source LLM app development platform. Prior to version 0.6.12, a normal user is able to access ...