langgenius/dify بهعنوان یک نرمافزار متنباز برای توسعه و مدیریت برنامههای هوش مصنوعی طراحی شده است و به کاربران امکان میدهد بهسادگی برنامههای مبتنی بر مدلهای زبانی را پیادهسازی کنند.
اخیراً یک آسیبپذیری با شناسهی CVE-2025-3466 و شدت 9.8 در این نرمافزار شناسایی شده است. این نقص به دلیل عدم پاکسازی صحیح ورودیها در گره کد به وجود آمده است و به مهاجم اجازه میدهد بدون نیاز به احراز هویت یا تعامل با کاربر، اقدام به اجرای کد دلخواه با سطح دسترسی ریشه نموده و کنترل کامل سیستم را در اختیار بگیرد.
جزئیات آسیبپذیری
این آسیبپذیری از نوع دور زدن محدودیتهای امنیتی است و ناشی از ورودی بدون فیلتر در گرهی کد در langgenius/dify رخ میدهد و به مهاجم امکان میدهد با ارسال مقادیر مخرب به برخی از متدها، توابع جاوااسکریپت را بازنویسی کند.
در نتیجه، مهاجم میتواند از راه دور کد دلخواه خود را با دسترسی کامل سطح ریشه اجرا نماید و بدون نیاز به احراز هویت یا تعامل کاربری به سیستم حمله کند.
این نقص میتواند منجر به موارد زیر شود:
- دسترسی غیرمجاز به کلیدهای مخفی
- دسترسی به سرورهای داخلی شبکه و انجام حرکت جانبی
- سرقت اطلاعات یا انجام عملیات تخریبی
مهاجم تنها با دسترسی به رابط کاربری dify یا API میتواند با تزریق مقادیر تغییریافته در گرهی کد، عملکرد توابع حیاتی جاوااسکریپت را پیش از اعمال محدودیتها تغییر داده و این حمله را عملی کند.
بردار CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
نشان میدهد این آسیبپذیری بهگونهای است که میتوان از راه دور و بدون نیاز به هیچگونه دسترسی قبلی یا تعامل با کاربر از آن بهرهبرداری کرد.
حمله با پیچیدگی پایین انجام میشود و به مهاجم اجازه میدهد تا کنترل کاملی بر محرمانگی، یکپارچگی و در دسترسپذیری سیستم داشته باشد.
به عبارت دیگر، این نقص امنیتی امکان اجرای کد دلخواه با بالاترین سطح دسترسی را فراهم میکند و میتواند تأثیرات گسترده و جدی بر عملکرد و امنیت کلی سیستم داشته باشد.
نسخههای تحت تأثیر
- نسخههای 1.1.0 تا 1.1.2 نرمافزار langgenius/dify تحت تأثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
- بهروزرسانی به نسخهی 1.1.3 و بعد از آن که این آسیبپذیری در آن رفع شده است.
- محدودسازی دسترسی به پنل مدیریتی و API به IPهای مجاز.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-3466
- 28