الثغرات ›

CVE-2026-6617

متوسط

CWE-918 — نوع الضعف

                    نُشر: Apr 20, 2026                      ·  آخر تحديث: Apr 23, 2026                      ·  المصدر: NVD                

CVSS v3

6.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability was detected in langgenius dify up to 0.6.9. This vulnerability affects the function get_api_tool_provider_remote_schema of the file api/services/tools/api_tools_manage_service.py of the component ApiToolManageService. Performing a manipulation of the argument url results in server-side request forgery. The attack can be initiated remotely. The exploit is now public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 ملخص AI

A server-side request forgery (SSRF) vulnerability exists in Dify up to version 0.6.9 in the ApiToolManageService component, allowing remote attackers to manipulate URLs and perform unauthorized requests. This vulnerability can be exploited remotely without authentication and poses risks to internal network resources and sensitive data.

📄 الوصف (العربية)

ثغرة في خدمة إدارة أدوات API بـ Dify تسمح بمعالجة URLs غير آمنة مما يؤدي إلى هجمات SSRF. يمكن للمهاجمين استخدام هذه الثغرة للوصول إلى الموارد الداخلية والخوادم المحلية والبيانات الحساسة. الثغرة قابلة للاستغلال عن بعد وتم نشر طريقة الاستغلال علناً.

🤖 ملخص تنفيذي (AI)

يوجد ثغرة في Dify حتى الإصدار 0.6.9 تسمح بهجمات SSRF عبر معالجة URL غير آمنة في خدمة إدارة أدوات API. يمكن استغلال هذه الثغرة عن بعد للوصول إلى الموارد الداخلية والبيانات الحساسة.

🤖 التحليل الذكي آخر تحليل: May 17, 2026 20:05

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking government telecom

🎯 تقنيات MITRE ATT&CK

T1190 T1498 T1570

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update Dify to version 0.7.0 or later immediately. Implement network segmentation to restrict outbound connections from the application server. Deploy Web Application Firewall (WAF) rules to detect and block SSRF patterns. Validate and sanitize all URL inputs using allowlist-based validation. Monitor API logs for suspicious URL patterns and internal network access attempts.

🔧 خطوات المعالجة (العربية)

قم بتحديث Dify إلى الإصدار 0.7.0 أو أحدث فوراً. طبق تقسيم الشبكة لتقييد الاتصالات الصادرة من خادم التطبيق. استخدم قواعد جدار الحماية لكشف أنماط SSRF. تحقق من صحة جميع مدخلات URL باستخدام قائمة بيضاء. راقب سجلات API للأنماط المريبة والوصول غير المصرح به.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.6.1 A.14.2.1

🔵 SAMA CSF

ID.BE-5.1 PR.DS-1.1 PR.DS-2.1 DE.CM-1.1

🟡 ISO 27001:2022

A.6.1.1 A.13.1.1 A.13.1.3 A.14.2.1

🔗 المراجع والمصادر 4

🔗

https://gist.github.com/chenhouser2025/306c6a7ad6aff9bc9a7fa76d5df38c63

cna@vuldb.com

🔗

https://vuldb.com/submit/792231

cna@vuldb.com

🔗

https://vuldb.com/vuln/358252

cna@vuldb.com

🔗

https://vuldb.com/vuln/358252/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.3

CWECWE-918

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-20

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-918

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-6617

عرّفنا بنفسك

تسجيل الدخول مطلوب