A vulnerability was detected in langgenius dify up to 0.6.9. This vulnerability affects the function get_api_tool_provider_remote_schema of the file api/services/tools/api_tools_manage_service.py of the component ApiToolManageService. Performing a manipulation of the argument url results in server-side request forgery. The attack can be initiated remotely. The exploit is now public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
A server-side request forgery (SSRF) vulnerability exists in Dify up to version 0.6.9 in the ApiToolManageService component, allowing remote attackers to manipulate URLs and perform unauthorized requests. This vulnerability can be exploited remotely without authentication and poses risks to internal network resources and sensitive data.
ثغرة في خدمة إدارة أدوات API بـ Dify تسمح بمعالجة URLs غير آمنة مما يؤدي إلى هجمات SSRF. يمكن للمهاجمين استخدام هذه الثغرة للوصول إلى الموارد الداخلية والخوادم المحلية والبيانات الحساسة. الثغرة قابلة للاستغلال عن بعد وتم نشر طريقة الاستغلال علناً.
يوجد ثغرة في Dify حتى الإصدار 0.6.9 تسمح بهجمات SSRF عبر معالجة URL غير آمنة في خدمة إدارة أدوات API. يمكن استغلال هذه الثغرة عن بعد للوصول إلى الموارد الداخلية والبيانات الحساسة.
Update Dify to version 0.7.0 or later immediately. Implement network segmentation to restrict outbound connections from the application server. Deploy Web Application Firewall (WAF) rules to detect and block SSRF patterns. Validate and sanitize all URL inputs using allowlist-based validation. Monitor API logs for suspicious URL patterns and internal network access attempts.
قم بتحديث Dify إلى الإصدار 0.7.0 أو أحدث فوراً. طبق تقسيم الشبكة لتقييد الاتصالات الصادرة من خادم التطبيق. استخدم قواعد جدار الحماية لكشف أنماط SSRF. تحقق من صحة جميع مدخلات URL باستخدام قائمة بيضاء. راقب سجلات API للأنماط المريبة والوصول غير المصرح به.