Dify version 1.14.1 and prior contain an authorization bypass vulnerability in the file preview endpoint that allows any authenticated user to read up to 3,000 characters of any uploaded document across all tenants and workspaces using only the file's UUID. Attackers can access the /console/api/files/{file_id}/preview endpoint with an intercepted file UUID to extract sensitive content from documents without ownership or workspace permission verification. NOTE: Dify Cloud allows unauthenticated free self-registration, making account creation trivially accessible to any attacker.
Dify versions up to 1.14.1 contain an authorization bypass in the file preview endpoint allowing authenticated users to read up to 3,000 characters from any uploaded document across all tenants using only a file UUID. The vulnerability is particularly severe in Dify Cloud where unauthenticated users can freely register accounts to exploit this flaw.
تحتوي نقطة نهاية معاينة الملفات في Dify على ثغرة تجاوز تفويض تسمح بالوصول غير المصرح إلى محتوى الملفات عبر معرف UUID فقط. يمكن لأي مستخدم مصرح الوصول إلى ملفات المستخدمين الآخرين وقراءة ما يصل إلى 3000 حرف من أي مستند. هذا يشكل خطراً كبيراً خاصة عندما يكون التسجيل المجاني متاحاً دون تحقق.
إصدارات Dify حتى 1.14.1 تحتوي على ثغرة تجاوز التفويض في نقطة نهاية معاينة الملفات تسمح للمستخدمين المصرحين بقراءة ما يصل إلى 3000 حرف من أي مستند محمل عبر جميع المستأجرين. تعتبر الثغرة خطيرة بشكل خاص في Dify Cloud حيث يمكن للمستخدمين غير المصرحين التسجيل بحرية لاستغلال هذه الثغرة.
Upgrade Dify to version 1.14.2 or later immediately. Implement strict access controls on the /console/api/files/{file_id}/preview endpoint to verify user ownership and workspace permissions before returning file previews. Disable free self-registration on Dify Cloud instances or implement email verification and rate limiting. Monitor access logs for suspicious file preview requests using file UUIDs from different workspaces.
قم بترقية Dify إلى الإصدار 1.14.2 أو أحدث فوراً. طبق ضوابط وصول صارمة على نقطة النهاية /console/api/files/{file_id}/preview للتحقق من ملكية المستخدم وأذونات مساحة العمل قبل إرجاع معاينات الملفات. عطل التسجيل الذاتي المجاني على مثيلات Dify Cloud أو طبق التحقق من البريد الإلكتروني وتحديد معدل الطلبات. راقب سجلات الوصول للطلبات المريبة لمعاينة الملفات باستخدام معرفات UUID من مساحات عمل مختلفة.