事件经过
Zafran 安全公司披露了 Dify(开源 LLMOps 平台,为 100 万+ 个 AI 应用提供支持)中的四个漏洞(DifyTap)。其中三个在云部署中跨租户。最严重的漏洞(CVE-2026-41947)允许任何已注册用户在受害应用上配置 LLM 跟踪,创建一个持久的隐蔽通道,捕获每条消息和模型响应。CVE-2026-41948(CVSS 9.4)是插件守护进程 API 中的未经身份验证的路径遍历,仍未修补。另外两个缺陷通过文件 UUID 枚举暴露跨租户的文档,没有权限检查。
影响分析
Dify 是生产中最广泛采用的 LLMOps 平台之一。跨租户的会话拦截意味着一个攻击者可以默默地窃听来自平台上任何公共应用的 AI 对话 — 包括提示、系统指令和模型响应。这是影响所有使用 Dify 云的行业中的专有提示、RAG 内容和敏感业务工作流的结构性 AI 数据管道妥协。
攻击途径
CVE-2026-41947(CVSS 9.1):已认证攻击者在任何公共应用上配置跟踪,无租户验证,捕获所有聊天消息和模型响应。CVE-2026-41948(CVSS 9.4,未修补):插件守护进程 API 中的未经身份验证的路径遍历允许跨租户访问内部端点。CVE-2026-41949/41950:文件预览/附件端点上的身份验证绕过仅使用文件 UUID 从其他租户暴露文档。
受影响系统
Dify (langgenius/dify) < 1.14.2(CVE-2026-41948 在披露时未修补)
缓解措施
升级到 Dify 1.14.2(修补 CVE-2026-41947, 41949, 41950)。CVE-2026-41948 修复已合并到主分支但尚未发布 — 应用供应商缓解措施。主要公告:https://www.zafran.io/resources/difytap-zafran-discovers-how-attackers-can-silently-wiretap-ai-data-across-tenants-on-a-platform-powering-1m-apps