무슨 일이 있었나
Zafran Security는 100만 개 이상의 AI 애플리케이션을 구동하는 오픈 소스 LLMOps 플랫폼인 Dify의 네 가지 취약점(DifyTap)을 공개했습니다. 세 개는 클라우드 배포에서 교차 테넌트입니다. 가장 심각한 것(CVE-2026-41947)은 모든 등록된 사용자가 피해자 애플리케이션에 대해 LLM 추적을 구성하여 모든 메시지 및 모델 응답을 캡처하는 지속적인 비밀 채널을 만들 수 있도록 합니다. CVE-2026-41948 (CVSS 9.4)은 플러그인 데몬 API의 인증되지 않은 경로 순회이며 패치되지 않은 상태로 유지됩니다. 두 가지 추가 결함은 파일 UUID 열거를 통해 권한 확인 없이 테넌트 간 문서를 노출합니다.
왜 중요한가
Dify는 프로덕션에서 가장 널리 채택된 LLMOps 플랫폼 중 하나입니다. 교차 테넌트 대화 가로채기는 한 공격자가 플랫폼의 모든 공개 애플리케이션에서 AI 대화를 무음으로 도청할 수 있음을 의미합니다(프롬프트, 시스템 명령 및 모델 응답 포함). 이는 Dify 클라우드를 사용하는 모든 산업의 독점 프롬프트, RAG 콘텐츠 및 민감한 비즈니스 워크플로우에 영향을 미치는 구조적 AI 데이터 파이프라인 손상입니다.
공격 경로
CVE-2026-41947 (CVSS 9.1): 인증된 공격자가 테넌트 검증 없이 모든 공개 애플리케이션에 추적을 구성하여 모든 채팅 메시지 및 모델 응답을 캡처합니다. CVE-2026-41948 (CVSS 9.4, 패치되지 않음): 플러그인 데몬 API의 인증되지 않은 경로 순회로 테넌트 간 내부 엔드포인트에 액세스할 수 있습니다. CVE-2026-41949/41950: 파일 미리보기/첨부 엔드포인트의 인증 우회는 파일 UUID만으로 다른 테넌트의 문서를 노출합니다.
영향받는 시스템
Dify (langgenius/dify) < 1.14.2 (CVE-2026-41948은 공개 시점에 패치되지 않음)
완화 방안
Dify 1.14.2로 업그레이드하세요 (CVE-2026-41947, 41949, 41950 패치). CVE-2026-41948 수정이 main에 병합되었지만 아직 출시되지 않았습니다. 공급업체 완화를 적용하세요. 기본 권고사항: https://www.zafran.io/resources/difytap-zafran-discovers-how-attackers-can-silently-wiretap-ai-data-across-tenants-on-a-platform-powering-1m-apps