Dify平台曝出多起高危漏洞 超百万AI应用面临跨租户数据泄露风险

开源AI开发平台Dify被披露存在多个高危安全漏洞，可引发多租户环境下的敏感AI数据泄露，潜在影响超100万个应用程序。该平台广泛用于搭建AI工作流、智能聊天机器人与RAG应用管线，客户涵盖沃尔沃、马士基、松下、赛默飞世尔等多家全球知名企业。

跨租户攻击可直接窃取全量聊天记录

研究团队共发现四项安全漏洞，其中两项达到关键严重级别，分别为CVE-2026-41947（CVSS 9.1分）与CVE-2026-41948（CVSS 9.4分）。共有三项漏洞可针对Dify多租户云部署环境发起跨租户攻击，使攻击者非法访问其他租户的数据。

其中危害最高的漏洞，允许攻击者无需通过租户身份验证，直接修改受害应用的追踪功能配置。利用该漏洞，攻击者可完整获取应用内所有用户提问与模型响应的聊天记录，并建立持久化的数据外泄通道。

插件服务存在未授权路径遍历漏洞

另一项关键漏洞出现在Dify的Plugin Daemon插件守护服务中。由于服务对输入内容校验不当，攻击者可构造特制的GET与POST请求，通过路径遍历漏洞访问平台内部API。受影响的接口无需身份认证即可访问，大幅提升了漏洞的利用风险。

文件处理权限缺失致敏感文件失控

Dify的文件处理机制同样存在安全缺陷，攻击者可实现多项高危操作：未经授权预览其他租户上传的文档；仅凭借文件UUID即可访问PDF、图像等敏感文件；将现有文件标识符附加至新消息中，诱导AI模型泄露文件内容。

这类漏洞源于平台权限执行强度不足，且间接访问控制模型存在设计缺陷，同时存在跨租户与租户内部的数据泄露风险。

过时组件遗留18个月未修复

除业务逻辑缺陷外，Dify还被检出使用了存在安全漏洞的旧版PDFium组件。该组件携带CVE-2024-5846释放后重用漏洞，在漏洞公开披露后，仍在生产环境中留存长达18个月，攻击者可通过上传恶意PDF文件触发利用。这一问题也暴露了AI平台的普遍短板：不可信文件格式的沙箱隔离不足，第三方依赖全生命周期管理存在疏漏。

修复进展与防护建议

目前Dify已发布1.14.2版本，修复了CVE-2026-41947、CVE-2026-41949与CVE-2026-41950三项漏洞；针对CVE-2026-41948的补丁已完成代码合并，将在后续版本中推送。

安全运维团队建议立即采取以下缓解措施：尽快升级至最新安全版本；部署WAF规则阻断路径遍历攻击；监控插件与文件相关接口的可疑访问行为；尽可能缩小Dify实例的公网暴露范围。