Dify is an open-source LLM app development platform. Prior to 1.9.0, responses from the Dify API to existing and non-existent accounts differ, allowing an attacker to enumerate email addresses registered with Dify. Version 1.9.0 fixes the issue.
Dify versions prior to 1.9.0 contain an information disclosure vulnerability that allows attackers to enumerate registered email addresses through API response differences. The vulnerability affects account enumeration and could be exploited to identify valid user accounts in Dify deployments.
تحتوي نسخ Dify السابقة للإصدار 1.9.0 على ثغرة تسمح للمهاجمين بتحديد عناوين البريد الإلكتروني المسجلة من خلال مقارنة استجابات API للحسابات الموجودة وغير الموجودة. يمكن استخدام هذا الضعف لبناء قوائم بريد إلكتروني صحيحة لهجمات إضافية. تم إصلاح المشكلة في الإصدار 1.9.0.
إصدارات Dify السابقة للإصدار 1.9.0 تحتوي على ثغرة كشف معلومات تسمح للمهاجمين بتعداد عناوين البريد الإلكتروني المسجلة من خلال اختلافات استجابة API. تؤثر الثغرة على تعداد الحسابات وقد يتم استغلالها لتحديد حسابات المستخدمين الصحيحة في نشرات Dify.
Upgrade Dify to version 1.9.0 or later immediately. Ensure API responses are standardized to prevent information disclosure through response timing or content differences. Implement rate limiting on authentication endpoints to mitigate enumeration attacks.
قم بترقية Dify إلى الإصدار 1.9.0 أو أحدث على الفور. تأكد من توحيد استجابات API لمنع الكشف عن المعلومات من خلال اختلافات التوقيت أو المحتوى. طبق تحديد معدل على نقاط نهاية المصادقة للتخفيف من هجمات التعداد.