الثغرات ›

CVE-2026-41949

متوسط

CWE-639 — نوع الضعف

                    نُشر: May 18, 2026                      ·  آخر تحديث: May 19, 2026                      ·  المصدر: NVD                

CVSS v3

5.9

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Dify version 1.14.1 and prior contain an authorization bypass vulnerability in the file preview endpoint that allows any authenticated user to read up to 3,000 characters of any uploaded document across all tenants and workspaces using only the file's UUID. Attackers can access the /console/api/files/{file_id}/preview endpoint with an intercepted file UUID to extract sensitive content from documents without ownership or workspace permission verification. NOTE: Dify Cloud allows unauthenticated free self-registration, making account creation trivially accessible to any attacker.

🤖 ملخص AI

Dify versions up to 1.14.1 contain an authorization bypass in the file preview endpoint allowing authenticated users to read up to 3,000 characters from any uploaded document across all tenants using only a file UUID. The vulnerability is particularly severe in Dify Cloud where unauthenticated users can freely register accounts to exploit this flaw.

📄 الوصف (العربية)

تحتوي نقطة نهاية معاينة الملفات في Dify على ثغرة تجاوز تفويض تسمح بالوصول غير المصرح إلى محتوى الملفات عبر معرف UUID فقط. يمكن لأي مستخدم مصرح الوصول إلى ملفات المستخدمين الآخرين وقراءة ما يصل إلى 3000 حرف من أي مستند. هذا يشكل خطراً كبيراً خاصة عندما يكون التسجيل المجاني متاحاً دون تحقق.

🤖 ملخص تنفيذي (AI)

إصدارات Dify حتى 1.14.1 تحتوي على ثغرة تجاوز التفويض في نقطة نهاية معاينة الملفات تسمح للمستخدمين المصرحين بقراءة ما يصل إلى 3000 حرف من أي مستند محمل عبر جميع المستأجرين. تعتبر الثغرة خطيرة بشكل خاص في Dify Cloud حيث يمكن للمستخدمين غير المصرحين التسجيل بحرية لاستغلال هذه الثغرة.

🤖 التحليل الذكي آخر تحليل: May 24, 2026 13:07

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking government healthcare telecom

🎯 تقنيات MITRE ATT&CK

T1078.001 T1526 T1087.004

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Dify to version 1.14.2 or later immediately. Implement strict access controls on the /console/api/files/{file_id}/preview endpoint to verify user ownership and workspace permissions before returning file previews. Disable free self-registration on Dify Cloud instances or implement email verification and rate limiting. Monitor access logs for suspicious file preview requests using file UUIDs from different workspaces.

🔧 خطوات المعالجة (العربية)

قم بترقية Dify إلى الإصدار 1.14.2 أو أحدث فوراً. طبق ضوابط وصول صارمة على نقطة النهاية /console/api/files/{file_id}/preview للتحقق من ملكية المستخدم وأذونات مساحة العمل قبل إرجاع معاينات الملفات. عطل التسجيل الذاتي المجاني على مثيلات Dify Cloud أو طبق التحقق من البريد الإلكتروني وتحديد معدل الطلبات. راقب سجلات الوصول للطلبات المريبة لمعاينة الملفات باستخدام معرفات UUID من مساحات عمل مختلفة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

6.1.1 6.1.2 6.2.1

🔵 SAMA CSF

AC-3 AC-4 SI-4

🟡 ISO 27001:2022

A.6.1.2 A.9.1.1 A.9.2.1 A.9.2.5

🔗 المراجع والمصادر 3

🔗

https://github.com/langgenius/dify/pull/35797

disclosure@vulncheck.com

🔗

https://huntr.com/bounties/d50a0240-7951-4939-b989-9bded66c7682

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/dify-authorization-bypass-via-file-preview-endpoint

disclosure@vulncheck.com

📊 CVSS Score

5.9

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.9

CWECWE-639

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-18

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-639

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-41949

عرّفنا بنفسك

تسجيل الدخول مطلوب