何が起きたか
Zafran Securityは、100万以上のAIアプリケーションを支える、オープンソースのLLMOpsプラットフォームであるDifyの4つの脆弱性(DifyTap)を開示しました。3つはクラウドデプロイメント内でクロステナント間です。最も深刻なもの(CVE-2026-41947)は、登録されたユーザーが被害者アプリケーション上でLLMトレーシングを構成できるようにし、すべてのメッセージとモデル応答をキャプチャする永続的な秘密チャネルを作成します。CVE-2026-41948(CVSS 9.4)はPlugin Daemon APIの認証されていないパストラバーサルであり、修正されていません。2つの追加の欠陥は、権限チェックなしでファイルUUID列挙によってテナント間でドキュメントを露出させます。
なぜ重要か
Difyはプロダクションでの最も広く採用されているLLMOpsプラットフォームの1つです。クロステナント間の会話傍受は、1人の攻撃者がプラットフォーム上の任意のパブリックアプリケーションからAI会話 — プロンプト、システム指示、モデル応答を含む — を静かに盗聴できることを意味します。これはDifyクラウドを使用するすべての業界全体の所有プロンプト、RAGコンテンツ、および機密ビジネスワークフローに影響を与える構造的なAIデータパイプライン侵害です。
攻撃経路
CVE-2026-41947(CVSS 9.1):認証された攻撃者がテナント検証なしで任意のパブリックアプリケーション上でトレーシングを構成し、すべてのチャットメッセージとモデル応答をキャプチャします。CVE-2026-41948(CVSS 9.4、修正されていない):Plugin Daemon APIの認証されていないパストラバーサルはテナント間の内部エンドポイントへのアクセスを許可します。CVE-2026-41949/41950:ファイルプレビュー/添付エンドポイント上の認証バイパスはファイルUUIDのみを使用して他のテナントからドキュメントを露出させます。
影響を受けるシステム
Dify(langgenius/dify)< 1.14.2(CVE-2026-41948は開示時に修正されていません)
緩和策
Dify 1.14.2にアップグレードしてください(CVE-2026-41947、41949、41950にパッチを適用)。CVE-2026-41948修正はメインにマージされていますがまだリリースされていません — ベンダー緩和策を適用してください。プライマリアドバイザリ:https://www.zafran.io/resources/difytap-zafran-discovers-how-attackers-can-silently-wiretap-ai-data-across-tenants-on-a-platform-powering-1m-apps